Le malware Flame n’en finit plus de provoquer des surprises. Les éditeurs de solutions de sécurité enquêtent, avertissent et creusent, Microsoft corrige un problème de certificat et les experts du monde entier continuent de fouiller dans les 20 Mo de données qui constituent son code. Dernière découverte en date : un système de chiffrement de données qui en dit long sur le degré de compétence des concepteurs.
Le site Ars Technica rapporte qu’une révélation détonante est apparue dans un groupe de discussions. Deux experts, Marc Stevens (Centrum Wiskunde & Informatica d’Amsterdam) et B.M.M. de Weger (Université technique d’Eindhoven), ont en effet indiqué que Flame était capable de réaliser des opérations mathématiques d’une grande finesse. Une finesse telle en fait qu’une partie du code a été rédigée soit par de véritables cadors de la cryptologie, soit par d’autres développeurs capables d’assimiler certaines études de haut niveau sur le sujet.
Flame est en effet capable d’employer des attaques par collision. Une collision se manifeste quand deux textes simples sont capables de donner le même résultat une fois chiffrés. Ars Technica indique que de tels cas alimentaient les théories sur le chiffrement jusqu’à ce qu’un projet de recherche réunisse il y a quatre ans 200 consoles PlayStation 3 pour chercher des collisions dans l’algorithme MD5, très utilisé sur la toile, notamment pour vérifier que le fichier téléchargé est le bon. L’exploitation des faiblesses trouvées pouvait conduire à la formation de certificats de sécurité reconnus comme authentiques.
Ceux qui ont suivi l’affaire savent justement que Microsoft a publié il y a quelques jours un patch pour révoquer un certificat. Selon les deux experts, c’est bien la méthode des collisions qui a été utilisée pour générer un faux certificat. La technique permettait même aux développeurs de Flame de placer de faux serveurs sur des réseaux contenant des machines infectées pour intercepter les communications avec Windows Update.
Les experts ont en outre indiqué que l’information a été trouvée avec un outil maison mais qu’ils ne pensaient pas tomber sur une attaque par collisions. Ils précisent que l’attaque en question ne correspond pas à un modèle connu, mais à une « nouvelle variante inconnue ». L’enquête continue pour reconstruire dans son ensemble le schéma d’attaque général, mais cette découverte renforce l’idée que des cryptologues de très haut niveau ont travaillé sur Flame.
Or, l’une des conclusions de Kaspersky était justement que le profil de Flame laissait à penser qu’un État avait au minimum apporté son soutien à cette création. Une équipe qui aurait été réunie par un pays afin d’accomplir un travail et faire des avancées dans plusieurs domaines, notamment mathématiques. Comme un nouveau projet Manhattan dédié à l’informatique.
Le site Ars Technica rapporte qu’une révélation détonante est apparue dans un groupe de discussions. Deux experts, Marc Stevens (Centrum Wiskunde & Informatica d’Amsterdam) et B.M.M. de Weger (Université technique d’Eindhoven), ont en effet indiqué que Flame était capable de réaliser des opérations mathématiques d’une grande finesse. Une finesse telle en fait qu’une partie du code a été rédigée soit par de véritables cadors de la cryptologie, soit par d’autres développeurs capables d’assimiler certaines études de haut niveau sur le sujet.
Flame est en effet capable d’employer des attaques par collision. Une collision se manifeste quand deux textes simples sont capables de donner le même résultat une fois chiffrés. Ars Technica indique que de tels cas alimentaient les théories sur le chiffrement jusqu’à ce qu’un projet de recherche réunisse il y a quatre ans 200 consoles PlayStation 3 pour chercher des collisions dans l’algorithme MD5, très utilisé sur la toile, notamment pour vérifier que le fichier téléchargé est le bon. L’exploitation des faiblesses trouvées pouvait conduire à la formation de certificats de sécurité reconnus comme authentiques.
Ceux qui ont suivi l’affaire savent justement que Microsoft a publié il y a quelques jours un patch pour révoquer un certificat. Selon les deux experts, c’est bien la méthode des collisions qui a été utilisée pour générer un faux certificat. La technique permettait même aux développeurs de Flame de placer de faux serveurs sur des réseaux contenant des machines infectées pour intercepter les communications avec Windows Update.
Les experts ont en outre indiqué que l’information a été trouvée avec un outil maison mais qu’ils ne pensaient pas tomber sur une attaque par collisions. Ils précisent que l’attaque en question ne correspond pas à un modèle connu, mais à une « nouvelle variante inconnue ». L’enquête continue pour reconstruire dans son ensemble le schéma d’attaque général, mais cette découverte renforce l’idée que des cryptologues de très haut niveau ont travaillé sur Flame.
Or, l’une des conclusions de Kaspersky était justement que le profil de Flame laissait à penser qu’un État avait au minimum apporté son soutien à cette création. Une équipe qui aurait été réunie par un pays afin d’accomplir un travail et faire des avancées dans plusieurs domaines, notamment mathématiques. Comme un nouveau projet Manhattan dédié à l’informatique.
