C'est un peu par hasard que le malware Flame a été découvert. À la suite d'une étude concernant un autre malware, baptisé Wiper (mais qui n'a pas été encore clairement identifié), Kasperky a mis la main sur ce que son laboratoire considère comme l'une des menaces les plus virulentes à ce jour. Ses effets sont multiples : comme bon nombre de malwares, il peut rapatrier des données à distance. Mais il est aussi capable de "jouer" avec la messagerie instantanée, de modifier les réglages de la machine, de capturer l'écran, de mettre en route le microphone d'un PC et d'enregistrer une discussion. Le virus contiendrait 20 fois plus de lignes de code que Stuxnet, qui avait déjà donné pas mal de fil à retordre aux éditeurs de solutions de sécurité.
Vers une propagation en Europe ?
L'activité principale de Flame est pour l'instant concentrée en Iran, aux USA et dans la région israélo-palestinienne. Mais selon Laurent Heslault, directeur des technologies de sécurité de Symantec, des traces de Flame ont été détectées en Russie, en Hongrie et en Autriche. Kaspersky commente : « Flame paraît avoir pour principal objectif le cyberespionnage, par le vol d’informations sur les machines infectées. » Et de rajouter que « le vecteur exact d’infection n’est pas encore déterminé mais il est d’ores et déjà clair que Flame a la possibilité de se répliquer via un réseau local par plusieurs méthodes, parmi lesquelles la même vulnérabilité d’imprimante et méthode d’infection USB exploitée par Stuxnet. » Flame serait-elle la pire des menaces de ces dix dernières années ? Peut-être pas...
Pour l'instant, très peu de machines infectées
Flame ne s'attaque qu'aux machines sous Windows, même si elles ont été convenablement mises à jour à l'aide de Windows Update. Est-ce à dire que tous les PC sont susceptibles d'être infectés ? Non, car le malware cible avec précision les machines à infecter. Pour l'instant, le malware n'aurait atteint qu'un peu plus de 600 PC. On est très loin des 600 000 Mac infectés par Flashback ou des 3 500 000 PC contaminés par Conficker.
La principale difficulté pour analyser Flame tient essentiellement à sa taille. Le malware et tous ses modules occupent en effet un espace de 20 Mo, là où Stuxnet ne nécessite que 600 Ko, et où un virus traditionnel ne requiert pas plus de 30 ko. A la sortie de Stuxnet, les équipes de Symantec ont dû mobiliser quatre personnes à plein temps. Il leur a fallu un mois pour comprendre le mécanisme du malware et deux autres pour l'appréhender totalement. L'éditeur BitDefender confirme : « En termes de taille de fichier, c’est le plus gros outil d’attaque connu à ce jour. En raison de sa taille, il faudra sans doute plusieurs semaines d’analyse aux chercheurs pour découvrir toutes ses fonctions. »
Un joyeux melting-pot de menaces connues
D'après Laurent Heslault de Symantec, Flame ne contient pour l'heure actuelle aucune menace inconnue. Il s'agit en fait d'un énorme amas de lignes de codes, dont certaines ne servent à rien. "On a même retrouvé des soi-disant lignes qui dateraient de 1994, alors que le langage employé pour développer Flame n'existait pas encore." En revanche, il faut s'attendre à trouver des failles 0 day en analysant le code de Flame.
De son côté, G Data commente : "Flame est complexe, mais pas forcément plus qu'un botnet. Ce n'est pas le code le plus complexe qui ait jamais été découvert. La similitude avec Stuxnet repose sur le fait qu'il utilise les mêmes vulnérabilités. Des modules ont pu être créés après la découverte des vulnérabilités de Stuxnet. Mais s'ils ont été créés avant la découverte des vulnérabilités, c'est plus intéressant, car cela signifie que les concepteurs de ces deux codes ont utilisé les mêmes sources (ou qu'il s'agit des mêmes personnes...). Mais ça, nous le saurons plus tard."
Comment se protéger d'un tel fléau ?
Bref, pour l'instant, le malware a beau être dangereux, il n'y a peut-être pas lieu de s'alarmer. Jindrich Kubec, directeur de l'Avast Virus Lab, confirme à son tour : « Il semble que la diffusion de Flame soit actuellement limitée et qu'il s'agisse davantage d'attaques ciblées plutôt que d'attaques globales. Flame est très similaire à Duqu et Stuxnet, qui ont eu un impact limité sur le grand public, mais peuvent avoir de grandes répercussions sur les machines ciblées. » Si le malware n'a pas encore livré tous ses secrets, il est facilement détecté et supprimé par une suites de sécurité traditionnelle. Ceux qui n'en possèdent pas peuvent également télécharger l'application gratuite Avast, ou faire appel à un outil dédié récemment mis en place par BitDefender et téléchargeable en version 32 bit ou 64 bit.
D'après certaines informations sur le net, il semble qu'un logiciel-baladeur APSI (agent de recherche de traces de piratages de sites internet, développé par un expert algérien connu sous Mekkisoft) a donné l'alarme en inscrivant des informations précises identifiant la présence de fichiers utilisés par le grand virus américain FLAME qui, rappelons-le, a pour mission principale de dysfonctionner les programmes nucléaires iraniens.Tous les fichiers détectés sont utilisés par le Virus FLAME y compris l'agent média de commandement (flame.txt) qui contient les instructions exécutables à distance par tous les modules FLAME qui peuvent se trouver n'importe où dans le monde. D'après certaines informations sur le net, notamment les experts de Karspersky, FLAME aurait été développé par la CIA assistée par des experts israéliens (info à confirmer).
APSI (Anti Piratage de Sites Internet) est un logiciel développé par Mekkisoft dans l'espoir de mettre fin aux piratages de sites internet (il n'est pas tout à fait opérationnel) car son développement nécessite plusieurs étapes fondamentales parmi lesquelles, la recherche et la détection des infos de piratage sur le net, c'est ce module justement qui a permis de détecter cette importante information sur FLAME.
Un rapport détaillé technique sera publié bientôt par les experts sur cette importante découverte.
Donc y'a le même problème partout. Windows est plus touché parce qu'il est plus populaire, et le gain de popularité d'Android et iOS a bien montré que tout à coup, les attaques se sont développées, tout comme Adobe Reader et Flash Player pour les mêmes raisons, avec la mise au point d'attaques ciblant TOUS les OS en même temps.
Sinon évidemment on a pas de craintes à avoir. De tels virus, du moins aujourd'hui, nécessitent pas mal de boulot, et sont donc uniquement créés par des organismes ayant suffisamment de moyens et de connaissances, donc des gouvernements et entreprises. Et forcément, ils vont de ce fait cibler d'autres gouvernements et entreprises. En l'occurrence, l'attaque semble se concentrer sur l'Iran, une fois de plus, avec des points de départ aux USA et en Israël, comme par hasard. A moins que ce soit une attaque de l'Iran, sait-on jamais.
Quoi qu'il en soit, les entreprises savent sécuriser leurs systèmes. Le fait que certains systèmes critiques tournent parfois sur Windows ne veut pas dire que tous tournent sur Windows. Ni même que d'ailleurs, si jamais ils tournent sur Windows qui reste un très bon OS, ils soient d'une façon ou d'une autre connectés à un réseau extérieur ou internet, ni ne permettent de brancher le moindre périphérique tiers sans passer par vingt procédures, trente vérifs, et quinze portes à code/badge.
Et si ça suffit à empêcher un employé d'installer Counter-Strike sur un des PC, ça résiste à tout attaque imaginable, car rien n'est plus dangereux qu'un employé qui veut glander.