Lors d’une interview donnée à Russia Today (1), Vitaly Kamlyuk, chef expert de la société Kaspersky, explique les particularités du virus Flame (nom de code Worm.Win32.Flame) que la société russe de sécurité informatique vient de découvrir.
Flame, qui est le virus le plus puissant de l’histoire de l’informatique, et dont la complexité laisse à penser que seule un pays est capable de l’avoir développé, a principalement attaqué l’Iran, mais pas uniquement. Il s’est aussi développé au Moyen Orient en Cisjordanie, à Gaza, au Liban, sur quelques machines aux Etats Unis, et d’autres pays sont à risque.
Flame partage quelques caractéristiques avec Stuxnet et Duqu, notamment l’utilisation des failles de sécurité des programmes, (JPG: probablement la vulnérabilité MS10-033 selon un autre expert chez Kaspersky), et la zone géographique des attaques. Il est énorme et incroyablement sophistiqué. En fait, il vient de redéfinir complètement la notion de cyber-guerre et de cyber-espionnage », déclarait le 28 mai Aleks (2), expert chez Kaspersky.
Flame utilise “autorun.inf” comme méthode d’infection, tout comme Stuxnet et Duqu, et exploit les mêmes vulnérabilités de spooler d’impression, ce qui indique que les auteurs de Flame ont probablement eu accès aux mêmes sources que ceux qui ont créé Stuxnet, mais il n’y a rien de certain, car ils semblent avoir été développés par deux groupes différents, et Flame n’utilise pas la plateforme Tilded de Stuxnet et Duqu » explique Aleks.
Mais nous pensons que Flame fait partie d’un projet complet, comme de ne pas mettre tous ses œufs dans le même panier, sachant qu’un jour ou l’autre, l’un des virus serait découvert, les autres pouvant continuer à travailler tranquillement dans l’ombre »
« Ce doit être l’œuvre d’un gouvernement » a déclaré à l’AFP Ilan Froimovitch, ingénieur de Kaspersky en Israël.
Selon Kaspersky, Flame est un cheval de Troie, ou backdoor, qui fonctionne comme un ver. Personne ne sait comment il pénètre dans un ordinateur, mais après infection, il se diffuse sur le réseau local, par Bluetooth, par la Wifi, ou même des clefs USB, en obéissant aux ordres qu’il reçoit.
Kaspersky a découvert le virus il y a un mois, et pense qu’il est actif depuis 2010. Sa date de création, en revanche, est encore inconnue.
Vitaly Kamlyuk:
Flame est très avancé. C’est l’un des plus sophistiqué que nous ayons jamais vu. Même sa taille – plus de 20 méga si l’on additionne tous les modules qui constituent le kit d’attaque. C’est énorme comparé à Stuxnet, qui avait seulement 500K de code. Et si vous songez que l’analyse de Stuxnet nous avait pris plusieurs mois, alors vous pouvez imaginer combien de temps il va nous falloir pour analyser Flame !
Aleks:
Flame est également unique dans sa façon de voler les informations. Il peut muter en un nombre complexes d’opérations. Il peut enregistrer tous les échanges de données d’un réseau, enregistrer des conversations si l’ordinateur possède un micro, prendre les commandes d’un clavier et enregistrer ses actions, il peut faire des captures d’écran et transmettre des images. Il peut voler les informations des cases où l’on entre les mots de passe. Il peut également scanner les appareils Bluetooth qui entrent dans le champs de l’ordinateur infecté – si ce dernier est équipé de Bluetooth, puis les infecter à leur tour, etc. Enfin, il peut développer ses fonctionnalités et mettre en action plusieurs modules – nous en avons découvert une vingtaine, et la plupart font encore l’objet de recherches.
Aleks:
Si Flame est si gros, c’est parce qu’il inclut de nombreuses librairies, dont des algorithmes de compression ((zlib, libbz2, ppmd), de manipulation de base de données (sqlite3), ainsi qu’une machine virtuelle Lua. Lua est un langage de programmation qui peut être facilement étendu avec du code C. De nombreuses parties de Flame reçoivent des ordres écrits en Lua, avec des librairies, des sous-routines d’attaque compilées depuis C++. Pourtant, le code Lua est petit comparé au reste du code de Flame. Notre estimation est que le code développé sous Lua contient 3000 lignes de codes, qui ont pris environ un mois à créer et débugger.
RT : qui est derrière ces attaques ?
VK : Tout comme Stuxnet et Duqu, ce n’est toujours pas clair. Chaque fois que nous cherchons à remonter jusqu’à la source, cela nous ramène à des dizaines, si ce n’est pas plus, de serveurs disséminés un peu partout dans le monde. Plus de 80 noms de domaines sont associés avec ces serveurs. La plupart sont enregistrés sous de faux noms. Donc nous ne savons pas qui est derrière, et nous tentons de ne pas nous livrer à des spéculations. Nous nous contentons des informations comme le langage que nous extrayons du code. Et jusqu’à présent, nous n’avons trouvé que de l’Anglais.
Flame a été découvert après que plusieurs compagnies pétrolières iraniennes ont été attaquées le mois dernier, les forçant à débrancher les ordinateurs, ce qui conduit à découvrir une attaque de plus grande ampleur contre différents ministères et sociétés iraniennes.
L’Iran s’est alors plaint que l’attaque a effacé le contenu de plusieurs PC, mais Kaspersky pense que Wiper, et non Flame, est responsable de l’effacement des disques durs. Rien n’a encore été découvert concernant Wiper, qui fait des dégâts tels sur les disques durs qu’il ne reste absolument rien qui permette de détecter une attaque, et rend les disques durs totalement inutilisables.
« Si Flame a progressé dans l’ombre pendant trois ans, la seule conclusion logique est qu’il y a d’autres opérations en cours dont nous ne savons rien », explique Roel Schouwenberg, chercheur en sécurité.
« En fait, Flame possède un module (du nom de browse32) qui permet de se désinstaller d’un ordinateur et de faire disparaître l’intégralité des traces de sa présence » selon Aleks, ce qui laisse imaginer combien d’ordinateur ont déjà été infectés puis désinfectés sans laisser de traces…
« Les cibles de Flame sont bien plus nombreuses que celles de Stuxnet et Duqu, avec des milliers de victimes partout dans le monde. Le type de victimes est également bien plus large : des compagnies privées, des universités, des particuliers, etc. » explique Aleks.
« La chose la plus effrayante pour moi est que si c’est ce dont ils étaient capables il y a trois ans, je peine à imaginer ce qu’ils conçoivent maintenant », estime pour sa part Mohan Koo, directeur de la société de sécurité informatique britannique Dtex Systems.
Dans une note confidentielle du IC3 (Internet Crime Complaint Center) (3) publiée le 8 mai, le FBI a révélé que les fenêtres de connexions internet des hôtels servent de base d’infection des ordinateurs portables de voyageurs ciblés, et il recommande aux membres du gouvernement, de sociétés privés, d’universitaires qui voyagent à l’étranger de prendre des précautions supplémentaires avant de se connecter à internet depuis leurs chambres d’hôtel.
Reproduction autorisée, et même vivement encouragée, avec la mention suivante et impérativement le lien html ci dessous :
© Jean-Patrick Grumberg pour www.Dreuz.info
(1) http://www.rt.com/news/flame-virus-cyber-war-536/
(2) http://www.securelist.com/en/blog/208193522/The_Flame_Questions_and_Answers
(3) http://www.ic3.gov/media/2012/120508.aspx
A voir les pays ciblés… je ne peux que trouver tout cela réjouissant !
J’imagine volontiers le lancement programmé par les Perses d’un missile balistique tiré de la base Imam Ali à Khorramābād et qui mettrait le cap sur le palais présidentiel de Mahmoud Ahmadinejad à Téhéran !
From your mouth to God’s ear!
Ah oui ! Mais ce serait trop beau !…
Alors là Barakat vous me faites saliver…
Juste imaginer que ces paranoïaques viennent à penser la même chose que vous et ils doivent déjà avoir les pantalons tous mouillés 😉
Que le ciel vous entende
si cela pouvait dès maintenant se faire quelle merveille
que dieu vous entende .
Voir aussi ici.
http://www.securityvibes.fr/menaces-alertes/flame/
http://labs.bitdefender.com/2012/05/cyber-espionage-reaches-new-levels-with-flamer/
http://techno.lapresse.ca/nouvelles/201205/30/01-4530103-une-solution-pour-eradiquer-le-virus-flame.php?utm_categorieinterne=trafficdrivers&utm_contenuinterne=cyberpresse_boitePourAccueilCbp_10209_accueil_POS3
bientot le mossad ne servira plus a grand chose, les moyens intelligents dont israel brille, tel un soleil a son zenith en plein desert, permettent biens plus de possibilités sans mettre la vie des hommes en danger (si seulement cela avait ete possible du temps de elie cohen espion hors du commun). l’iran et ses sbires devraient reflechir a deux fois avant de tenter quois que ce soit contre israel et l’occident. j’imagine comme le dit l’article que si aujourd’hui cela est devoiler au grand publique, le virus flame, est deja has been et qu’un ou plusieurs autres virus autrement plus puissants et performants sont a l’oeuvre, mais ca on ne le saura que dans quelques années. les armées parmis les plus performantes technologiquement (pour ne pas dire les plus performantes) que sont les usa et israel ont 20ans d’avance avant devoilement au grand publique.
par exemple : la 1ere fois que j’ai entendu parler de gps(devloper par les usa depuis les années 60 et qui equipaient les chars markava) c’etait en 1982 par le grand frere de mon copain qui etait grader a tsahal. deja rien que pour comprendre le principe il a du nous faire un dessin….
les 1ers gps grand publique sont apparu vers l’an 2000 soit 18ans plus tard. je serai curieux de savoir avec quois ils jouent aujourd’hui…
Oui franck, nous vivons les humains dans une réalité largement dépassée, peut-être plus que 10 ans. Aussi nous devrions faire un effort sur Drzz pardon Dreuz pour en tenir compte dans nos interventions souvent passionnées. Ne nous égarons pas l’ennemie est encore à l’Est avec ses vieilles méthodes mais non moins redoutables le mensonge comme arme programmée par le plus gros ordinateur biologique, le cerveau humain. Votre commentaire me réjouit et j’espère qu’il incitera à réflexion sur ce monde déjà à plusieurs niveau don’t l’accélération se traduit chez certains par une vision ” à l’envers ” des événements. J’ai eu comme vous un témoignage d’un Russe canadien qui rejoignait ce fameux décallage, il y a plus de trente ans.
Vous dites :
“le mensonge comme arme programmée par le plus gros ordinateur biologique, le cerveau humain”
On dit que le rire est le propre de l’homme (ce qui est faux d’ailleurs) ; j’en ai une définition un peu moins “drôle” ou plus pessimiste si vous voulez :
“l’Homme est le seul être vivant qui est capable de se mentir à lui-même”
L’antidote :
“gnōthi seautón” (connais-toi toi-même) disais Socrate. C’était il y a près de 2’500 ans, et c’est toujours d’une extraordinaire actualité.
Bonjour,
Outre ces citations philosophiques inutiles qu’on peut caser dans à peu n’importe quel contexte, je vous rassure, l’armée USA ou quelque soit l’armée la plus avancée technologiquement n’utilise pas encore de soucoupes volantes ni de sabres lasers.
Il va sans dire que les technologies dont ils disposent surpassent de loin ce qui est accessible au grand public actuellement, mais l’écart n’est plus aussi gros qu’il y a 20 ans.
Donc ne fantasmez pas trop sur des technologies de martiens de l’an 3000, elles n’existent pas encore.
Et de source sûre.
Ce virus est impressionnant, désormais il n’y a pas que la Chine et la Russie qui misent massivement dans les cyber-attaques. Mais sur la finalité de Flame : il ne sert à pas grand chose, il retarde la création de la bombe mais il ne l’empêchera pas. Les iraniens vont j’imagine s’adapter (un virus doit nécessairement passer par une clé usb ou internet). L’Iran aura sa bombe car personne ne peut len empêcher : Israël est trop faible et les USA sont englués dans une crise financière qui accélère leur déclin. Je vois la suite de l’histoire, une fois que les iraniens disposeront de l’arme nucléaire, la Turquie, l’Égypte et l’Arabie Saoudite chercheront à se doter de la bombe atomique.