En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour vous proposer des services et offres adaptés à vos centres d’intérêts.FERMER  x
Pour en savoir plus et paramétrer les cookies...
En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour vous proposer des services et offres adaptés à vos centres d’intérêts.FERMER  x
Pour en savoir plus et paramétrer les cookies...
Actualité informatique
Test comparatif matériel informatique
Jeux vidéo
Astuces informatique
Vidéo
Télécharger
Services en ligne
Forum informatique
01Business
Applis, logiciels
Produits
Télécoms
Sécurité
Culture, médias
Politique, droits
Technos
Buzz, société
Jeux
Science, recherche

Flame : les premiers secrets de la cyberarme révélés

Les détails sur le fonctionnement de Flame commencent à tomber. Le logiciel malveillant, analysé notamment par les équipes de Kaspersky et de Symantec, est bel et bien incroyablement complexe... et réserve quelques surprises.

laisser un avis
Percer les secrets de Flame, le puissant kit d’espionnage démasqué récemment, sera un travail de très longue haleine. Mais les experts en sécurité qui procèdent à son analyse ont déjà décortiqué certains de ses principes de fonctionnement. Et ce qu’ils ont découvert corrobore la théorie selon laquelle ce logiciel malveillant serait l’un des plus avancés au monde.
agrandir la photo
Kaspersky, qui a révélé l’existence de Flame, est en pointe sur l’étude du malware. La firme de sécurité russe détaille sur son blog l’avancement de ses recherches et donne quelques détails intéressants à son propos, à commencer par une description des modules qui le composent. Alexander Gostev, chercheur au sein de Kaspersky, évoque aussi le nom du fichier principal de Flame, MSSECMGR.OCX, dont une des versions découvertes pèse pas moins de 6 Mo !
Pourquoi une taille aussi importante ? Parce que ce fichier abrite différents modules, pour certains très complexes, qui permettent à Flame d’espionner, de se répandre ou de communiquer avec ses mystérieux maîtres. Kaspersky n’est pas encore parvenu à comprendre l’utilité de chacun d’entre eux, mais dévoile tout de même de nombreuses informations croustillantes.
© Symantec
L'ensemble des données récoltées par Flame, selon Symantec.
agrandir la photo
Pour n’en citer que quelques unes : « Beetlejuice » permet, par exemple, à Flame d’utiliser le Bluetooth pour faire un repérage des appareils présents autour de la machine infectée. « Microbe » offre la possibilité d’enregistrer des sons à partir du micro. Quant à « Limbo », il crée de nouveaux comptes masqués sur les machines présentes sur le même réseau que le PC infecté, pour les contaminer ensuite grâce à un autre module : « Frog ».
Le spectre des données collectées est impressionnant. Symantec en a dressé une liste proprement incroyable... D’après ses informations, l’espion est capable de récupérer à peu près tout ce qui se trouve sur la machine, des données système aux flux réseau, en passant par les mots de passe et les fichiers qui y sont stockés (voir notre image) !

Flame peut se répandre via Windows Update

Autre preuve de l’intelligence, de l’ingéniosité des développeurs de Flame : sa capacité à se propager, à la demande de ses maîtres, de nombreuses manières. Deux autres modules, que Kaspersky nomme « Gadget » et « Munch » profitent notamment d’une technique particulièrement maline pour répandre discrètement le kit d’espionnage sur différents PC d’un même réseau local. Et pas grand-chose ne peut lui résister, pas même un PC « patché » avec les derniers correctifs.
L’attaque, particulièrement originale, consiste en effet à déguiser le code malveillant en… une mise à jour Windows Update. Pour cela, Flame fait passer la machine initialement infectée pour un proxy du service de mise à jour. Quand la machine cible se connecte à Windows Update, elle est redirigée à l’insu de l’utilisateur sur l’ordinateur déjà infecté. Celui-ci va alors servir une fausse mise à jour Windows : « Desktop Gadget Platform », censée permettre l’affichage de widgets sur le bureau. Il n’en est rien : c’est bien Flame qui est installé !
Cette infection sournoise a aussi nécessité l’utilisation détournée de certificats pourtant signés par Microsoft afin que le logiciel s’installe sans la moindre alerte. La firme de Redmond a, depuis, révoqué les certificats en question et propose une mise à jour de sécurité sur… Windows Update, évidemment !

Une arme en fonction au moins depuis 2008

Kaspersky a par ailleurs publié une longue analyse de la structure de contrôle et de commande de Flame, qui permet à ses opérateurs de piloter leur bébé à distance et de récupérer les informations récoltées. L’entreprise s’est pour cela associée à la firme GoDaddy (où étaient enregistrés la plupart des domaines) et à OpenDNS, afin de détourner les domaines sur leur propre « sinkhole » et ainsi tenter d’en savoir plus.
© Kaspersky Labs
La structure de contrôle et de commande de Flame, selon Kaspersky.
agrandir la photo
Et là encore, les chiffres parlent d’eux-mêmes : la firme de sécurité russe a trouvé pas moins de 80 noms de domaines liés à l’infrastructure. Des noms évidemment enregistrés avec une kyrielle de fausses identités et d’adresses bidons « en Allemagne et en Autriche, notamment à Vienne ». Il est par ailleurs intéressant de noter que les premiers noms de domaine liés à Flame ont été enregistrés dès 2008, ce qui prouve que la cyberarme est en fonction depuis bien longtemps ! Quant aux machines infectées, si elles se situent essentiellement au Moyen-Orient, on en trouve aussi une dizaine aux Etats-Unis et quelques-unes en Europe... mais aucune en France pour le moment, d’après les études – forcément partielles – de Kaspersky.
Les opérateurs de Flame ont en tout cas été des plus prudents : d’après Symantec, dès que le kit a été découvert, ils ont envoyé une commande d’autodestruction à certaines machines infectées, sous la forme d’un nouveau fichier de « désinstallation » qui a supprimé toute trace de leur œuvre.

Flame, le premier malware Windows qui profite de Bluetooth

agrandir la photo

C’est sans doute l’une des fonctions les plus incroyables de Flame : le kit d’espionnage est capable d’effectuer un repérage des appareils Bluetooth présents autour de la machine infectée. D’autre part, il transforme l’ordinateur en « balise » Bluetooth, qui sera du coup repérée par tous les autres appareils dans la zone.

Flame est, selon Symantec, le seul code malveillant sous Windows à disposer d’une telle fonction. A quoi cela sert-il ? Le mystère demeure. Mais la firme de sécurité élabore des scénarios probables, qui témoigneraient encore du talent des développeurs.

L’utilisation du Bluetooth pourrait d’abord être la première étape d’une attaque qui n’a pas encore été découverte dans Flame : espionner un kit mains-libres, par exemple... ou exfiltrer des données volées via Bluetooth par une connexion data d’un mobile, ce qui pourrait avoir comme avantage d’outrepasser des firewalls

Autre scénario possible : Flame pourrait profiter des informations récoltées pour en savoir plus sur les connaissances de la victime. « Alors que, le temps passant, la victime rencontre des amis et des associés, les attaquants pourraient cataloguer les différents appareils qu’elle “repère”, notamment des téléphones mobiles. De cette manière, les attaquants pourraient établir une carte des interactions avec diverses personnes et identifier les cercles personnels et professionnels de la victime. »

Encore plus fort, Symantec imagine un scénario dans lequel cette utilisation du Bluetooth servirait à traquer la position de la victime : « en mesurant la puissance d’une onde radio, un attaquant pourrait mesurer si la victime s’approche ou s’éloigne d’un appareil particulier ». L’entreprise va jusqu’à évoquer une intrigue à la James Bond, dans laquelle la victime pourrait être suivie à la trace par de puissants appareils de surveillance Bluetooth dans les aéroports, gares etc. Simplement en s’appuyant sur l’adresse Bluetooth de son téléphone portable, préalablement récoltée par Flame.

« Ces théories sont faciles à implémenter pour un attaquant talentueux. La sophistication de W32.Flamer indique que ses créateurs sont certainement habiles techniquement et ces attaques sont parfaitement à leur portée », conclut Symantec.

envoyer
par mail
imprimer
l'article
@01net sur
à lire aussi
SUR LES MÊMES THÈMES
Suivre les virus à la trace sur son réseau informatique
Une version du ver Flame conçue pour le cyberespionnage ciblé
Flame n’est qu’une partie d’un arsenal informatique plus large
Un malware ciblerait les clients de Salesforce
Les objets connectés seront le nouveau paradis des malwares
Sécurité: 99 % des malwares sur mobile visent les terminaux Android
Blue Coat : Détectez les attaques virales grâce au big data
Un cheval de Troie bancaire infecte les terminaux Android et BlackBerry
Java est-il vraiment dangereux ?
Opération « Ville sans virus » pour l’éditeur Eset
iPhone/iPad : un chargeur "pirate" capable d'injecter un malware
Android compte pour 79% des menaces mobiles, iOS à peine 0,7%
Infiltrer les réseaux fixes par des ondes électromagnétiques, c’est possible
L'Iran dément avoir dû déjouer une nouvelle cyberattaque
Le pétrolier Chevron, victime collatérale de Stuxnet en 2010
Grande promo sur les outils de piratage en Russie
Un hacker français arrêté pour avoir créé des virus pour Androïd
Le prochain Android pourrait intégrer un antivirus
Comment les cybercriminels utilisent les stars pour vous piéger