Flame, la plus sophistiquée des cyberarmes
Kaspersky a mis le doigt sur l’un des codes malicieux les plus complexes jamais écrits. Véritable trousse à outils pour cyberespion, Flame vole un maximum d’informations sur la machine cible… Tout en demeurant invisible.
Après Stuxnet et Duqu, Flame. Une équipe de chercheurs de Kaspersky a révélé, hier, avoir découvert ce qu’ils estiment être la plus complexe des cyberarmes jamais mises au jour. Flame – ou Flamer pour Symantec – est en effet loin d’être un logiciel malveillant comme les autres, démasqué en effectuant des recherches sur un autre malware qui conserve encore tous ses mystères, Wiper. Alexander Gostev, expert en sécurité chez Kaspersky Labs décrit Flame comme bien plus complexe que Duqu et précise qu’il est si « incroyablement sophistiqué qu’il redéfinit la notion de cyberguerre et de cyberespionnage. »
Voilà deux ans qu’en douce, ce programme épie l’activité de dizaines de machines, principalement dans des pays du Moyen-Orient. Une fois installé sur un ordinateur sous Windows, cette boîte à outils d’espions est en mesure de récupérer une quantité de données incroyable : Flame peut voler les documents qui y sont stockés, prendre des captures d’écran lorsque certaines applications intéressantes sont lancées, « sniffer » le réseau local… Ou enregistrer des conversations audio depuis le micro de l’ordinateur. Et il est fortement probable que Flame dispose d’autres moyens d’écoute, pas encore découverts… Tout cela en demeurant caché, invisible notamment pour les logiciels de sécurité, qu'il peut désactiver.
Il fonctionne aussi comme un bot : toutes les informations volées sont envoyées régulièrement à ses mystérieux opérateurs via un canal SSL. Kaspersky a déjà découvert pas moins d’une douzaine de noms de domaines et différents serveurs liés au malware et estime qu’il pourrait y avoir un total de 80 domaines utilisés par les hackers pour communiquer avec leur bébé.
Une complexité incroyable
Flame est en ce moment en train d’être décortiqué par des dizaines de chercheurs en sécurité… Mais tenter d’en percer les secrets va représenter un travail colossal, estimé à une bonne année : il s’agit en effet d’un des logiciels malveillants les plus imposants jamais repérés. « Sa taille est impressionnante. Alors qu’un maliciel classique ne pèse pas plus de 20 ko, Stuxnet pesait déjà 600 ko, mais Flame, lui, peut atteindre jusqu’à 20 Mo ! » nous indique Laurent Heslaut, directeur des stratégies de sécurité chez Symantec.
Il précise aussi pourquoi ce malware est si gros : « Alors que Stuxnet n’était qu’un outil à tête chercheuse, pour une tâche précise, nous sommes ici devant une véritable boîte à outils dont on n'a pas encore fini de lister les outils ! Flame est extrêmement modulaire, mais contient aussi de nombreux mécanismes en mesure de nous empêcher de le décrypter trop vite et de remonter jusqu’aux auteurs... » D’après Alexander Gostev, Flame « consiste en de nombreux plug-in différents – jusqu’à 20 – qui ont tous des rôles précis. Une machine infectée par Flame peut en héberger 7 seulement, alors qu’une autre en hébergera 15. Cela dépend des informations soutirées à la victime et de la durée de l’infection. »
Ce kit du parfait espion n’a été débusqué que sur quelques centaines de machines, dans des entreprises et… chez des particuliers. Problème : on ne sait même pas comment les pirates sont parvenus à l’implanter. « Nous sommes sur la piste d’une ou de plusieurs failles zero day* », nous révèle Laurent Heslaut. Rappelons que Stuxnet avait recours à pas moins de quatre failles zero day, un chiffre exceptionnel qui prouve les investissements importants mis à l’œuvre durant sa conception. Il est probable que Flame ait infecté les machines cibles à la suite d’un message personnalisé, particulièrement bien conçu, envoyé à la victime par mail par exemple.
Une fois installé sur une machine, Flame peut ensuite se répliquer en passant par le réseau local ou par le biais de clés USB. « Il se propage avec parcimonie et évite ainsi les risques de détection », nous confie Laurent Heslaut. Il est également capable de s’autodétruire pour ne plus laisser la moindre trace une fois le forfait du pirate accompli.
Qui est derrière ce faux cousin de Stuxnet ?
À mesure que les experts le dissèqueront, nous en apprendrons davantage sur ce code épatant. Alexander Gostev indique « qu’il n’a pas de similarités majeures avec Stuxnet et Duqu », mais « qu’il y a toutefois des liens qui pourraient indiquer que les créateurs de Flame ont eu accès à la technologie utilisée dans le projet Stuxnet, comme la méthode d’infection par le fichier autorun.inf. » Le chercheur estime toutefois que les deux codes ont été sans doute développés par des équipes différentes.
Il sera en tout cas très difficile de découvrir qui se cache derrière cette menace particulièrement élaborée. « Tout ce que l’on peut dire, c’est que ce n’est pas l’œuvre d’un amateur, ni de cybercriminels au sens financier du terme, ni d'hacktivistes. C’est une opération largement financée, planifiée », nous indique M. Heslaut.
« La géographie des cibles et la complexité de la menace ne laisse aucun doute sur le fait qu’une nation a financé la recherche qui a mené à Flame », s’aventure même M. Gostev. Savoir laquelle va représenter un problème autrement plus complexe.
*Les zero day sont des failles préalablement inconnues, contre lesquelles il n’existe aucune contre-mesure.
