Les semaines passent et les informations sur Flame continuent de s’accumuler. Présenté par Kaspersky comme le « malware le plus sophistiqué jamais découvert », il fascine par la complexité de son code, son poids hors norme de 20 Mo, ses outils pour parer à plusieurs situations, ses puissantes attaques modernes ou encore sa capacité à se suicider. Les éditeurs de solutions de sécurité soupçonnaient l’influence d’au moins un état derrière Flame. Selon le Washington Post, ils avaient raison.
Fin mai, Kaspersky publie un premier grand billet explicatif sur un nouveau venu : Flame. L’éditeur met clairement en avant une préférence des cibles pour l’Iran et une grande complexité du code. Les premiers soupçons d’un travail de très grande envergure sont levés et une hypothèse voit le jour : qu’un État pourrait être impliqué directement dans le financement de cette cyberarme.
Plus récemment, le 8 juin, nous nous sommes fait l’écho d’un autre constat important : Flame utilise des méthodes d’attaques basées sur les collisions. Ces dernières, basées sur la théorie que deux contenus chiffrés peuvent produire le même « hash », avaient permis aux auteurs de Flame de faire passer leur création pour un authentique produit Microsoft. L’éditeur de Redmond n’avait alors pas eu le choix : le certificat avait été révoqué et des travaux avaient menés pour que de vieilles méthodes de génération de certificats ne soient plus utilisées (dans Terminal Services notamment).
La semaine dernière, Kaspersky revient à la charge : Flame et Stuxnet sont apparentés. Ce dernier contient un pan de code issu de l’un des tout premiers modules de Flame. Pour l’éditeur, l’explication est simple : il existe bien deux équipes différentes de développeurs, mais elles ont collaboré au moins pendant un temps pour créer Stuxnet. Les experts considéraient alors que Stuxnet pouvait être considéré comme le premier gros rejeton de la plateforme Flame, véritable pépinière à malwares potentiels.
Un fil d’Ariane apparaît alors : si les États-Unis et Israël sont derrière Stuxnet et que les auteurs de ce dernier ont collaboré avec ceux de Flame, les deux pays seraient-ils impliqués également dans Flame ?
Bien que cette conclusion ne soit pas réellement une surprise (nombre de nos lecteurs supposaient déjà une implication d’Israël contre l’Iran par exemple), elle n’en est pas moins accompagnée de nouveaux renseignements. Ainsi, le Washington Post pointe une implication directe de la NSA (National Security Agency), de la CIA (Central Intelligence Agency) et de l’armée israélienne. Une collaboration qui a mené à la première grande opération de sabotage menée exclusivement via des moyens informatiques.
Mais l’histoire ne s’arrête pas là. En effet, bien que Flame ait apparemment été conçu grâce à une collaboration des deux pays, l’attaque contre l’Iran aurait été initialement lancée par Israël seul. Une décision unilatérale qui aurait pris de court les États-Unis. Toujours selon les mêmes sources, plusieurs officiels Américains (probablement de la CIA) auraient été « estomaqués » en apprenant la nouvelle car le manque de préparation aurait mené à la découverte de Flame.
Le Washington Post a recueilli en outre l’avis de Tom Parker, responsable technique de la société de sécurité FusionX. Selon lui, il est évident que le degré de complexité de Flame annonce clairement la couleur : il ne peut s’agir que d’une création des « plus brillants cryptomathématiciens, tels que ceux travaillant à la NSA ». Un avis partagé par Kaspersky la semaine dernière.
Selon les sources du Washington Post, les performances de Flame sont une « réponse proportionnée au problème devant être résolu ». En outre, même si Stuxnet et Flame ont été détectés et peuvent être contrecarrés, « cela ne signifie pas que d’autres outils ne sont pas en jeu ou déjà actifs actuellement ». Ces attaques laissent présager d’un tournant dans la manière dont les pays considèrent les affrontements. Les malwares peuvent en fonction de l’objectif collecter des données importantes ou provoquer des pannes. Ils peuvent également préparer le terrain pour de plus larges opérations.
S’il est possible d’en retrouver la trace dans des centrales nucléaires, c’est toute la sécurité informatique qui devrait prendre un nouveau visage. On se rappellera d'ailleurs des propos de Patrick Pailloux, directeur général de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) en février 2011 : « Nos observations montrent que la menace croit, menace que nous classons en espionnage, perturbation et destruction. Plus il y a d'événements sur la planète, plus on voit qu’on s’attaque à Internet d’une façon ou d’une autre. Et en terme de destruction, on a l'exemple du ver Stuxnet ».
Des signes précurseurs
Revenons d’abord en arrière. Le 1er juin, un article du New York Times relate comment l’administration Obama a pris le relai d’un vaste plan lancé sous Georges W. Bush : contrecarrer les avancées technologiques de l’Iran dans leur essor nucléaire. Un malware est alors créé en collaboration avec Israël pour espionner et/ou induire des pannes dans les centrifugeuses des centrales. Un bug dans le code provoque une fuite et une diffusion dans le reste du monde. Reconnu et analysé, les éditeurs de solutions de sécurité lui donnent un nom : Stuxnet.Fin mai, Kaspersky publie un premier grand billet explicatif sur un nouveau venu : Flame. L’éditeur met clairement en avant une préférence des cibles pour l’Iran et une grande complexité du code. Les premiers soupçons d’un travail de très grande envergure sont levés et une hypothèse voit le jour : qu’un État pourrait être impliqué directement dans le financement de cette cyberarme.
Plus récemment, le 8 juin, nous nous sommes fait l’écho d’un autre constat important : Flame utilise des méthodes d’attaques basées sur les collisions. Ces dernières, basées sur la théorie que deux contenus chiffrés peuvent produire le même « hash », avaient permis aux auteurs de Flame de faire passer leur création pour un authentique produit Microsoft. L’éditeur de Redmond n’avait alors pas eu le choix : le certificat avait été révoqué et des travaux avaient menés pour que de vieilles méthodes de génération de certificats ne soient plus utilisées (dans Terminal Services notamment).
La semaine dernière, Kaspersky revient à la charge : Flame et Stuxnet sont apparentés. Ce dernier contient un pan de code issu de l’un des tout premiers modules de Flame. Pour l’éditeur, l’explication est simple : il existe bien deux équipes différentes de développeurs, mais elles ont collaboré au moins pendant un temps pour créer Stuxnet. Les experts considéraient alors que Stuxnet pouvait être considéré comme le premier gros rejeton de la plateforme Flame, véritable pépinière à malwares potentiels.
Un fil d’Ariane apparaît alors : si les États-Unis et Israël sont derrière Stuxnet et que les auteurs de ce dernier ont collaboré avec ceux de Flame, les deux pays seraient-ils impliqués également dans Flame ?
Le Washington Post lâche une bombe
La question précédente reçoit un « Oui » très clair dans un article publié hier par le Washington Post. Le journal indique avoir eu la confirmation du lien par des officiels Occidentaux dont les noms ne sont évidemment pas connus.Bien que cette conclusion ne soit pas réellement une surprise (nombre de nos lecteurs supposaient déjà une implication d’Israël contre l’Iran par exemple), elle n’en est pas moins accompagnée de nouveaux renseignements. Ainsi, le Washington Post pointe une implication directe de la NSA (National Security Agency), de la CIA (Central Intelligence Agency) et de l’armée israélienne. Une collaboration qui a mené à la première grande opération de sabotage menée exclusivement via des moyens informatiques.
Mais l’histoire ne s’arrête pas là. En effet, bien que Flame ait apparemment été conçu grâce à une collaboration des deux pays, l’attaque contre l’Iran aurait été initialement lancée par Israël seul. Une décision unilatérale qui aurait pris de court les États-Unis. Toujours selon les mêmes sources, plusieurs officiels Américains (probablement de la CIA) auraient été « estomaqués » en apprenant la nouvelle car le manque de préparation aurait mené à la découverte de Flame.
Le Washington Post a recueilli en outre l’avis de Tom Parker, responsable technique de la société de sécurité FusionX. Selon lui, il est évident que le degré de complexité de Flame annonce clairement la couleur : il ne peut s’agir que d’une création des « plus brillants cryptomathématiciens, tels que ceux travaillant à la NSA ». Un avis partagé par Kaspersky la semaine dernière.
Selon les sources du Washington Post, les performances de Flame sont une « réponse proportionnée au problème devant être résolu ». En outre, même si Stuxnet et Flame ont été détectés et peuvent être contrecarrés, « cela ne signifie pas que d’autres outils ne sont pas en jeu ou déjà actifs actuellement ». Ces attaques laissent présager d’un tournant dans la manière dont les pays considèrent les affrontements. Les malwares peuvent en fonction de l’objectif collecter des données importantes ou provoquer des pannes. Ils peuvent également préparer le terrain pour de plus larges opérations.
S’il est possible d’en retrouver la trace dans des centrales nucléaires, c’est toute la sécurité informatique qui devrait prendre un nouveau visage. On se rappellera d'ailleurs des propos de Patrick Pailloux, directeur général de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) en février 2011 : « Nos observations montrent que la menace croit, menace que nous classons en espionnage, perturbation et destruction. Plus il y a d'événements sur la planète, plus on voit qu’on s’attaque à Internet d’une façon ou d’une autre. Et en terme de destruction, on a l'exemple du ver Stuxnet ».
![[MàJ] Rachat d’Activision par Microsoft (avec Ubisoft) : pour la CMA, « le nouvel accord répond aux préoccupations »](https://cdnx.nextinpact.com/compress/100-75/data-next/images/bd/square-linked-media/10172.jpg)
