Flame : faut-il avoir peur du virus qui fait très peur ?

C'est un peu par hasard que le malware Flame a été découvert. À la suite d'une étude concernant un autre malware, baptisé Wiper (mais qui n'a pas été encore clairement identifié), Kasperky a mis la main sur ce que son laboratoire considère comme l'une des menaces les plus virulentes à ce jour. Ses effets sont multiples : comme bon nombre de malwares, il peut rapatrier des données à distance. Mais il est aussi capable de "jouer" avec la messagerie instantanée, de modifier les réglages de la machine, de capturer l'écran, de mettre en route le microphone d'un PC et d'enregistrer une discussion. Le virus contiendrait 20 fois plus de lignes de code que Stuxnet, qui avait déjà donné pas mal de fil à retordre aux éditeurs de solutions de sécurité.


Vers une propagation en Europe ?

L'activité principale de Flame est pour l'instant concentrée en Iran, aux USA et dans la région israélo-palestinienne. Mais selon Laurent Heslault, directeur des technologies de sécurité de Symantec, des traces de Flame ont été détectées en Russie, en Hongrie et en Autriche. Kaspersky commente : « Flame paraît avoir pour principal objectif le cyberespionnage, par le vol d’informations sur les machines infectées. » Et de rajouter que « le vecteur exact d’infection n’est pas encore déterminé mais il est d’ores et déjà clair que Flame a la possibilité de se répliquer via un réseau local par plusieurs méthodes, parmi lesquelles la même vulnérabilité d’imprimante et méthode d’infection USB exploitée par Stuxnet. » Flame serait-elle la pire des menaces de ces dix dernières années ? Peut-être pas...


Pour l'instant, très peu de machines infectées

Flame ne s'attaque qu'aux machines sous Windows, même si elles ont été convenablement mises à jour à l'aide de Windows Update. Est-ce à dire que tous les PC sont susceptibles d'être infectés ? Non, car le malware cible avec précision les machines à infecter. Pour l'instant, le malware n'aurait atteint qu'un peu plus de 600 PC. On est très loin des 600 000 Mac infectés par Flashback ou des 3 500 000 PC contaminés par Conficker.
La principale difficulté pour analyser Flame tient essentiellement à sa taille. Le malware et tous ses modules occupent en effet un espace de 20 Mo, là où Stuxnet ne nécessite que 600 Ko, et où un virus traditionnel ne requiert pas plus de 30 ko. A la sortie de Stuxnet, les équipes de Symantec ont dû mobiliser quatre personnes à plein temps. Il leur a fallu un mois pour comprendre le mécanisme du malware et deux autres pour l'appréhender totalement.  L'éditeur BitDefender confirme : « En termes de taille de fichier, c’est le plus gros outil d’attaque connu à ce jour. En raison de sa taille, il faudra sans doute plusieurs semaines d’analyse aux chercheurs pour découvrir toutes ses fonctions. »

Quelques lignes de codes provenant de Flame.Quelques lignes de codes provenant de Flame.


Un joyeux melting-pot de menaces connues

D'après Laurent Heslault de Symantec, Flame ne contient pour l'heure actuelle aucune menace inconnue. Il s'agit en fait d'un énorme amas de lignes de codes, dont certaines ne servent à rien. "On a même retrouvé des soi-disant lignes qui dateraient de 1994, alors que le langage employé pour développer Flame n'existait pas encore." En revanche, il faut s'attendre à trouver des failles 0 day en analysant le code de Flame.
De son côté, G Data commente : "Flame est complexe, mais pas forcément plus qu'un botnet. Ce n'est pas le code le plus complexe qui ait jamais été découvert. La similitude avec Stuxnet repose sur le fait qu'il utilise les mêmes vulnérabilités. Des modules ont pu être créés après la découverte des vulnérabilités de Stuxnet. Mais s'ils ont été créés avant la découverte des vulnérabilités, c'est plus intéressant, car cela signifie que les concepteurs de ces deux codes ont utilisé les mêmes sources (ou qu'il s'agit des mêmes personnes...). Mais ça, nous le saurons plus tard."


Comment se protéger d'un tel fléau ?

Bref, pour l'instant, le malware a beau être dangereux, il n'y a peut-être pas lieu de s'alarmer. Jindrich Kubec, directeur de l'Avast Virus Lab, confirme à son tour : « Il semble que la diffusion de Flame soit actuellement limitée et qu'il s'agisse davantage d'attaques ciblées plutôt que d'attaques globales. Flame est très similaire à Duqu et Stuxnet, qui ont eu un impact limité sur le grand public, mais peuvent avoir de grandes répercussions sur les machines ciblées. » Si le malware n'a pas encore livré tous ses secrets, il est facilement détecté et supprimé par une suites de sécurité traditionnelle. Ceux qui n'en possèdent pas peuvent également télécharger l'application gratuite Avast, ou faire appel à un outil dédié récemment mis en place par BitDefender et téléchargeable en version 32 bit ou 64 bit.

Posez une question dans la catégorie News du forum
Cette page n'accepte plus de commentaires
8 commentaires
    Votre commentaire
  • pirouette grincheuse
    tres intéressant mais domage que chaque foit veut imprimer l'article impossible mon imprimante ne l'imprime pas et d'habitude aucun probleme pourquoi
    -2
  • taraaaaa@guest
    Et sinon, tu pourrais faire un effort dans ton français, je pense que sa ne serais pas un mal...
    0
  • ortho@1343822790@guest
    @taraaaaa@Guest :
    Et sinon, tu pourrais faire un effort dans ton orthographe, je pense que ça ne serait pas un mal...
    (2 fautes !!!)
    0