Flame (ver informatique)

Flame, également connu sous les noms Worm.Win32.Flame, Flamer et sKyWIper, est un logiciel malveillant découvert en . C'est un ver informatique infectant les systèmes d’exploitation Windows qui aurait, selon Kaspersky Lab, infecté 1 000 ordinateurs. Il a été créé par les États-Unis et Israël[1] pour servir à des fins de cyber-espionnage contre l'Iran[2].

Caractéristiques techniques

Flame est volumineux pour un logiciel malveillant (plus de 20 Mo une fois installé). Il inclut plusieurs bibliothèques de compression de données : zlib, libbz2 et PPMd, mais aussi un serveur SQLite 3 et une machine virtuelle en langage de script Lua[3].

Flame vise les machines équipées du système d'exploitation Windows de Microsoft : grâce à des faux certificats de sécurité, il se fait passer pour une mise à jour de Windows. Il ne se propage pas automatiquement sur le réseau, mais seulement au coup par coup, sur décision d'un centre de commande – le but étant d'éviter une prolifération anarchique qui accroîtrait les risques de détection [4].

Ce logiciel permet d'intercepter des e-mails, des données PDF, Office, des graphiques, et d'enregistrer des conversations en ligne. Il est capable d'identifier et de recopier n'importe quel type de fichier, de mémoriser chaque frappe sur le clavier, de faire des captures d'écran, ou encore d'activer le micro de l'ordinateur pour enregistrer les bruits et les conversations alentour [4].

Il peut même déclencher l'émetteur-récepteur sans fil Bluetooth pour communiquer avec des ordinateurs portables ou des smartphones situés à proximité [4].

Il pourrait avoir aussi des applications cybernétiques offensives grâce à une « ogive »[réf. nécessaire]. Le la société de sécurité informatique russe Kaspersky Lab indique que ce virus serait antérieur et présenterait d'ailleurs des liens avec le virus Stuxnet, qui fait partie du programme américain Olympic Games[5].

miniFlame

À la mi-, le laboratoire de la société Kaspersky Lab dit avoir découvert un virus de la famille de Flame que l'éditeur baptise miniFlame[6]. Le virus est construit pour fonctionner en extension de Flame ou de Gauss, mais peut également fonctionner indépendamment. Il semble que le virus se soit déployé sur un faible nombre de machines, celles-ci ayant été infectées par Flame auparavant. Tout comme Flame, miniFlame est un outil de cyber-espionnage destiné à voler des données. Kaspersky estime que le développement a pu prendre 5 ans et passer par plusieurs versions. Les chercheurs de Kaspersky insistent sur la relation entre tous ces virus : « miniFlame vient prouver à nouveau qu'il existe une collaboration entre les créateurs de Stuxnet, Duqu, Flame et Gauss »[7].

Enjeux géostratégiques

Les données publiés par Kaspersky Lab indiquent que les infections disséminées par ce programme ont été réparties à travers le Moyen-Orient avec 189 « attaques » en Iran, 98 « incidents » en Cisjordanie, une trentaine au Soudan et en Syrie. Flame a aussi été détecté au Liban, en Arabie saoudite et en Égypte[8]. Eugène Kaspersky, fondateur de la société russe productrice de logiciels anti-virus Kaspersky, qui a révélé l'existence du virus sur 600 ordinateurs infectés au Proche-Orient le a annoncé le à Tel Aviv que Flame pourrait marquer le début d'une « cyber-épidémie mondiale ». « Ce n'est que le début du jeu (…). Cela pourrait devenir la fin du monde tel que nous le connaissons, parce que la planète compte beaucoup de réseaux informatiques et nous en sommes fortement dépendants, les cyber-armes peuvent se reproduire et attaquer leurs cibles partout dans le monde, même loin des zones de conflit. Malheureusement, l'humanité ne sait pas encore se protéger contre de telles attaques, et il faudra probablement renoncer à l'utilisation des systèmes d'exploitation populaires comme Windows ou Linux sur les sites sensibles ».

Marco Obiso, coordinateur de la cyber-sécurité de l'ONU à l'Union internationale des télécommunications (ITU) basée à Genève, a déclaré qu'il s'agissait « de l'alerte la plus sérieuse à laquelle nous ayons eu à faire face ». Il considère Flame comme « un outil d'espionnage dangereux qui pourrait être utilisé pour attaquer des infrastructures essentielles ».

Orla Cox, une analyste de sécurité informatique de Symantec, a estimé que « ce virus ciblait des individus spécifiques vraisemblablement liés à l'Iran. La façon dont il a été mis au point ne ressemble à rien que nous avons vu auparavant. C'est énorme. C'est comme utiliser une arme atomique pour casser une noix. »

Selon de hauts responsables des services secrets occidentaux cités anonymement par le Washington Post en juin 2012, le virus aurait été développé conjointement par les États-Unis et Israël pour recueillir des données en préparation d'une autre attaque informatique visant à ralentir la capacité de l'Iran à développer une arme nucléaire[9].

Notes et références

  1. U.S., Israel developed FlameWashington Post - 19/06/2012
  2. « "Flame", une cyber-arme visant peut-être l'Iran, détectée par le russe Kaspersky », L'Express,‎ (lire en ligne)
  3. « Flame, malware le plus puissant et sophistiqué selon Kaspersky », PC INpact,‎ (lire en ligne)
  4. a b et c « Flame, un virus espion d'Etat », sur lemonde.fr,
  5. Les virus informatiques Flame et Stuxnet seraient liés, Le Monde - 11/06/2012
  6. « Kaspersky Lab Discovers “miniFlame,” a New Malicious Program Designed for Highly Targeted Cyber Espionage Operations »,
  7. op. cit.
  8. « Flame virus most powerful espionage tool ever, UN warns »,
  9. (en) « U.S., Israel developed Flame computer virus to slow Iranian nuclear efforts, officials say », The Washington Post,‎ (lire en ligne)

Articles connexes