FLASH
[24/09/2017] T’es con Macron ? Inviter les cultes à discuter d’éthique un vendredi soir ? Les juifs et shabbat, t’as entendu parlé ?  |  Grosse victoire sociale de Trump : moins 1,2 million de pauvres vivent de bons alimentaires depuis son élection  |  [23/09/2017] Corée du Nord : le séisme détecté ce matin semble être une réplique du test nucléaire de début septembre  |  Marseille : un homme abattu en pleine rue en rapport avec le trafic de drogue  |  Dans son discours en Alabama, Trump dit littéralement : « virez moi ces footballeurs fils de putes qui refusent d’honorer notre drapeau »  |  Algérie : le gouvernement interdit le voile intégral à l’école  |  Chelles : un membre du gang des barbares retourne déjà en prison  |  [22/09/2017] Le gouvernement Valls a minoré les dépenses de la Sécu dit la Cour des comptes-mais les politiques ne rendent pas compte de leurs actes  |  Calais (62) : les conflits entre musulmans commencent: combats entre migrants éthiopiens, irakiens et syriens  |  Ile d’Oléron: le maire ne voulait pas d’un McDonald’s mais n’avait aucun problème avec une mosquée  |  Un djihadiste originaire de Toulouse a été livré à la France par la Turquie  |  Val-de-Reuil (27) : le commissariat encerclé et bloqué par 80 musulmans turcs  |  Ville la belle immigration ! Une Allemande violée en plein jour en pleine rue à Munich par des Afghans  |  Enorme victoire diplomatique de Trump : la Chine ordonne à toutes ses banques de cesser toute relation avec Corée du Nord  |  [21/09/2017] Florian Philippot quitte le FN : « Il était temps ! Reste maintenant à changer de ligne » tweet Robert Ménard  | 
Rafraichir régulierement la page
Publié par Jean-Patrick Grumberg le 31 mai 2012

Lors d’une interview donnée à Russia Today (1), Vitaly Kamlyuk, chef expert de la société Kaspersky, explique les particularités du virus Flame (nom de code Worm.Win32.Flame) que la société russe de sécurité informatique vient de découvrir.

Flame, qui est le virus le plus puissant de l’histoire de l’informatique, et dont la complexité laisse à penser que seule un pays est capable de l’avoir développé, a principalement attaqué l’Iran, mais pas uniquement. Il s’est aussi développé au Moyen Orient en Cisjordanie, à Gaza, au Liban, sur quelques machines aux Etats Unis, et d’autres pays sont à risque.

Flame partage quelques caractéristiques avec Stuxnet et Duqu, notamment l’utilisation des failles de sécurité des programmes, (JPG: probablement la vulnérabilité MS10-033 selon un autre expert chez Kaspersky), et la zone géographique des attaques. Il est énorme et incroyablement sophistiqué. En fait, il vient de redéfinir complètement la notion de cyber-guerre et de cyber-espionnage », déclarait le 28 mai Aleks (2), expert chez Kaspersky.

Flame utilise “autorun.inf” comme méthode d’infection, tout comme Stuxnet et Duqu, et exploit les mêmes vulnérabilités de spooler d’impression, ce qui indique que les auteurs de Flame ont probablement eu accès aux mêmes sources que ceux qui ont créé Stuxnet, mais il n’y a rien de certain, car ils semblent avoir été développés par deux groupes différents, et Flame n’utilise pas la plateforme Tilded de Stuxnet et Duqu » explique Aleks.

Mais nous pensons que Flame fait partie d’un projet complet, comme de ne pas mettre tous ses œufs dans le même panier, sachant qu’un jour ou l’autre, l’un des virus serait découvert, les autres pouvant continuer à travailler tranquillement dans l’ombre »

« Ce doit être l’œuvre d’un gouvernement » a déclaré à l’AFP Ilan Froimovitch, ingénieur de Kaspersky en Israël.

Selon Kaspersky, Flame est un cheval de Troie, ou backdoor, qui fonctionne comme un ver. Personne ne sait comment il pénètre dans un ordinateur, mais après infection, il se diffuse sur le réseau local, par Bluetooth, par la Wifi, ou même des clefs USB, en obéissant aux ordres qu’il reçoit.

Kaspersky a découvert le virus il y a un mois, et pense qu’il est actif depuis 2010. Sa date de création, en revanche, est encore inconnue.

Vitaly Kamlyuk:

Flame est très avancé. C’est l’un des plus sophistiqué que nous ayons jamais vu. Même sa taille – plus de 20 méga si l’on additionne tous les modules qui constituent le kit d’attaque. C’est énorme comparé à Stuxnet, qui avait seulement 500K de code. Et si vous songez que l’analyse de Stuxnet nous avait pris plusieurs mois, alors vous pouvez imaginer combien de temps il va nous falloir pour analyser Flame !

Aleks:

Flame est également unique dans sa façon de voler les informations. Il peut muter en un nombre complexes d’opérations. Il peut enregistrer tous les échanges de données d’un réseau, enregistrer des conversations si l’ordinateur possède un micro, prendre les commandes d’un clavier et enregistrer ses actions, il peut faire des captures d’écran et transmettre des images. Il peut voler les informations des cases où l’on entre les mots de passe. Il peut également scanner les appareils Bluetooth qui entrent dans le champs de l’ordinateur infecté – si ce dernier est équipé de Bluetooth, puis les infecter à leur tour, etc. Enfin, il peut développer ses fonctionnalités et mettre en action plusieurs modules – nous en avons découvert une vingtaine, et la plupart font encore l’objet de recherches.

Aleks:

Si Flame est si gros, c’est parce qu’il inclut de nombreuses librairies, dont des algorithmes de compression ((zlib, libbz2, ppmd), de manipulation de base de données (sqlite3), ainsi qu’une machine virtuelle Lua. Lua est un langage de programmation qui peut être facilement étendu avec du code C. De nombreuses parties de Flame reçoivent des ordres écrits en Lua, avec des librairies, des sous-routines d’attaque compilées depuis C++. Pourtant, le code Lua est petit comparé au reste du code de Flame. Notre estimation est que le code développé sous Lua contient 3000 lignes de codes, qui ont pris environ un mois à créer et débugger.

Régions infectées (Israël correspond à Cisjordanie)

RT : qui est derrière ces attaques ?

VK : Tout comme Stuxnet et Duqu, ce n’est toujours pas clair. Chaque fois que nous cherchons à remonter jusqu’à la source, cela nous ramène à des dizaines, si ce n’est pas plus, de serveurs disséminés un peu partout dans le monde. Plus de 80 noms de domaines sont associés avec ces serveurs. La plupart sont enregistrés sous de faux noms. Donc nous ne savons pas qui est derrière, et nous tentons de ne pas nous livrer à des spéculations. Nous nous contentons des informations comme le langage que nous extrayons du code. Et jusqu’à présent, nous n’avons trouvé que de l’Anglais.

Flame a été découvert après que plusieurs compagnies pétrolières iraniennes ont été attaquées le mois dernier, les forçant à débrancher les ordinateurs, ce qui conduit à découvrir une attaque de plus grande ampleur contre différents ministères et sociétés iraniennes.

L’Iran s’est alors plaint que l’attaque a effacé le contenu de plusieurs PC, mais Kaspersky pense que Wiper, et non Flame, est responsable de l’effacement des disques durs. Rien n’a encore été découvert concernant Wiper, qui fait des dégâts tels sur les disques durs qu’il ne reste absolument rien qui permette de détecter une attaque, et rend les disques durs totalement inutilisables.

« Si Flame a progressé dans l’ombre pendant trois ans, la seule conclusion logique est qu’il y a d’autres opérations en cours dont nous ne savons rien », explique Roel Schouwenberg, chercheur en sécurité.

« En fait, Flame possède un module (du nom de browse32) qui permet de se désinstaller d’un ordinateur et de faire disparaître l’intégralité des traces de sa présence » selon Aleks, ce qui laisse imaginer combien d’ordinateur ont déjà été infectés puis désinfectés sans laisser de traces…

« Les cibles de Flame sont bien plus nombreuses que celles de Stuxnet et Duqu, avec des milliers de victimes partout dans le monde. Le type de victimes est également bien plus large : des compagnies privées, des universités, des particuliers, etc. » explique Aleks.

« La chose la plus effrayante pour moi est que si c’est ce dont ils étaient capables il y a trois ans, je peine à imaginer ce qu’ils conçoivent maintenant », estime pour sa part Mohan Koo, directeur de la société de sécurité informatique britannique Dtex Systems.

Dans une note confidentielle du IC3 (Internet Crime Complaint Center) (3) publiée le 8 mai, le FBI a révélé que les fenêtres de connexions internet des hôtels servent de base d’infection des ordinateurs portables de voyageurs ciblés, et il recommande aux membres du gouvernement, de sociétés privés, d’universitaires qui voyagent à l’étranger de prendre des précautions supplémentaires avant de se connecter à internet depuis leurs chambres d’hôtel.

Reproduction autorisée, et même vivement encouragée, avec la mention suivante et impérativement le lien html ci dessous :
© Jean-Patrick Grumberg pour www.Dreuz.info

(1) http://www.rt.com/news/flame-virus-cyber-war-536/
(2) http://www.securelist.com/en/blog/208193522/The_Flame_Questions_and_Answers
(3) http://www.ic3.gov/media/2012/120508.aspx

Merci de cliquer sur J'aime pour soutenir Dreuz