En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour vous proposer des services et offres adaptés à vos centres d’intérêts.FERMER  x
Pour en savoir plus et paramétrer les cookies...
En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour vous proposer des services et offres adaptés à vos centres d’intérêts.FERMER  x
Pour en savoir plus et paramétrer les cookies...
Actualité informatique
Test comparatif matériel informatique
Jeux vidéo
Astuces informatique
Vidéo
Télécharger
Services en ligne
Forum informatique
01Business
Applis, logiciels
Produits
Télécoms
Sécurité
Culture, médias
Politique, droits
Technos
Buzz, société
Jeux
Science, recherche

Flame, la plus sophistiquée des cyberarmes

Kaspersky a mis le doigt sur l’un des codes malicieux les plus complexes jamais écrits. Véritable trousse à outils pour cyberespion, Flame vole un maximum d’informations sur la machine cible… Tout en demeurant invisible.

laisser un avis
Après Stuxnet et Duqu, Flame. Une équipe de chercheurs de Kaspersky a révélé, hier, avoir découvert ce qu’ils estiment être la plus complexe des cyberarmes jamais mises au jour. Flame – ou Flamer pour Symantec – est en effet loin d’être un logiciel malveillant comme les autres, démasqué en effectuant des recherches sur un autre malware qui conserve encore tous ses mystères, Wiper. Alexander Gostev, expert en sécurité chez Kaspersky Labs décrit Flame comme bien plus complexe que Duqu et précise qu’il est si « incroyablement sophistiqué qu’il redéfinit la notion de cyberguerre et de cyberespionnage. »
© Kaspersky Labs
Le bout de code dont Flame tire son nom (image Kaspersky Labs)
agrandir la photo
Voilà deux ans qu’en douce, ce programme épie l’activité de dizaines de machines, principalement dans des pays du Moyen-Orient. Une fois installé sur un ordinateur sous Windows, cette boîte à outils d’espions est en mesure de récupérer une quantité de données incroyable : Flame peut voler les documents qui y sont stockés, prendre des captures d’écran lorsque certaines applications intéressantes sont lancées, « sniffer » le réseau local… Ou enregistrer des conversations audio depuis le micro de l’ordinateur. Et il est fortement probable que Flame dispose d’autres moyens d’écoute, pas encore découverts… Tout cela en demeurant caché, invisible notamment pour les logiciels de sécurité, qu'il peut désactiver.
Il fonctionne aussi comme un bot : toutes les informations volées sont envoyées régulièrement à ses mystérieux opérateurs via un canal SSL. Kaspersky a déjà découvert pas moins d’une douzaine de noms de domaines et différents serveurs liés au malware et estime qu’il pourrait y avoir un total de 80 domaines utilisés par les hackers pour communiquer avec leur bébé.

Une complexité incroyable

Flame est en ce moment en train d’être décortiqué par des dizaines de chercheurs en sécurité…  Mais tenter d’en percer les secrets va représenter un travail colossal, estimé à une bonne année : il s’agit en effet d’un des logiciels malveillants les plus imposants jamais repérés. « Sa taille est impressionnante. Alors qu’un maliciel classique ne pèse pas plus de 20 ko, Stuxnet pesait déjà 600 ko, mais Flame, lui, peut atteindre jusqu’à 20 Mo ! » nous indique Laurent Heslaut, directeur des stratégies de sécurité chez Symantec.
© Kaspersky Labs
Les pays les plus touchés par le malware, selon Kaspersky
agrandir la photo
Il précise aussi pourquoi ce malware est si gros : « Alors que Stuxnet n’était qu’un outil à tête chercheuse, pour une tâche précise, nous sommes ici devant une véritable boîte à outils dont on n'a pas encore fini de lister les outils ! Flame est extrêmement modulaire, mais contient aussi de nombreux mécanismes en mesure de nous empêcher de le décrypter trop vite et de remonter jusqu’aux auteurs... » D’après Alexander Gostev, Flame « consiste en de nombreux plug-in différents – jusqu’à 20 – qui ont tous des rôles précis. Une machine infectée par Flame peut en héberger 7 seulement, alors qu’une autre en hébergera 15. Cela dépend des informations soutirées à la victime et de la durée de l’infection. »
Ce kit du parfait espion n’a été débusqué que sur quelques centaines de machines, dans des entreprises et… chez des particuliers. Problème : on ne sait même pas comment les pirates sont parvenus à l’implanter. « Nous sommes sur la piste d’une ou de plusieurs failles zero day* », nous révèle Laurent Heslaut. Rappelons que Stuxnet avait recours à pas moins de quatre failles zero day, un chiffre exceptionnel qui prouve les investissements importants mis à l’œuvre durant sa conception. Il est probable que Flame ait infecté les machines cibles à la suite d’un message personnalisé, particulièrement bien conçu, envoyé à la victime par mail par exemple.
Une fois installé sur une machine, Flame peut ensuite se répliquer en passant par le réseau local ou par le biais de clés USB. « Il se propage avec parcimonie et évite ainsi les risques de détection », nous confie Laurent Heslaut. Il est également capable de s’autodétruire pour ne plus laisser la moindre trace une fois le forfait du pirate accompli.

Qui est derrière ce faux cousin de Stuxnet ?

À mesure que les experts le dissèqueront, nous en apprendrons davantage sur ce code épatant. Alexander Gostev indique « qu’il n’a pas de similarités majeures avec Stuxnet et Duqu », mais « qu’il y a toutefois des liens qui pourraient indiquer que les créateurs de Flame ont eu accès à la technologie utilisée dans le projet Stuxnet, comme la méthode d’infection par le fichier autorun.inf. » Le chercheur estime toutefois que les deux codes ont été sans doute développés par des équipes différentes.
Il sera en tout cas très difficile de découvrir qui se cache derrière cette menace particulièrement élaborée. « Tout ce que l’on peut dire, c’est que ce n’est pas l’œuvre d’un amateur, ni de cybercriminels au sens financier du terme, ni d'hacktivistes. C’est une opération largement financée, planifiée », nous indique M. Heslaut.
« La géographie des cibles et la complexité de la menace ne laisse aucun doute sur le fait qu’une nation a financé la recherche qui a mené à Flame »,
s’aventure même M. Gostev. Savoir laquelle va représenter un problème autrement plus complexe.
  *Les zero day sont des failles préalablement inconnues, contre lesquelles il n’existe aucune contre-mesure.
envoyer
par mail
imprimer
l'article
@01net sur
à lire aussi
SUR LES MÊMES THÈMES
Flame, la plus sophistiquée des cyberarmes
L'Iran dément avoir dû déjouer une nouvelle cyberattaque
Le pétrolier Chevron, victime collatérale de Stuxnet en 2010
Stuxnet : un ver créé par les Etats-Unis et Israël
"Stuxnet ? C’est moi qui l’ai fait !"
2015 : 4 chantiers clés pour la cybersécurité
Alten lance une co-entreprise dans la cybersécurité
Phishing : une menace internationale, quelle que soit la langue
Le futur de la carte à puce se joue sans cartes
2014 : l’année qui aura vu les COMEX se mobiliser pour leur cybersécurité ?
Pourquoi pas un recyclage intelligent des briques technologiques d'Ecomouv
JTech 201 : Spécial Mondial de l’auto 2014 (vidéo)
Sébastien Faivre (Brainwave) : « Mettre une porte blindée ne suffit plus à protéger une entreprise »
Apple Pay, la fin de la fraude aux cartes bancaires ?
Apple et la sécurité : une rentrée 2014 forte en actualité !
Des photos de Jennifer Lawrence à la protection de l’entreprise, quelles réactions avoir ?
Consolidation dans la sécurité : Morpho rachète Dictao
Le big data et la sécurité : plus de données... plus de problèmes
Les drones, le nouveau cauchemar des départements informatiques ?
Quel est votre vecteur d’attaque préféré : PDF, Word ou ZIP ?