Les virus Flame et Stuxnet signés du même auteur ?
Flame et Stuxnet sont bien liés. "Nous avons découvert qu'un module de Flame, nommé Torcy.a, était similaire à l'une des ressources composant Stuxnet. C'était en fait tellement similaire que notre système de classification automatique des malwares les a confondus", explique Alexander Gostev, expert du laboratoire de Kasperky. Plus précisément, l'un des composants d'une variante de Stuxnet datant de 2009, appelé "ressource 207", serait tout simplement le prototype de Flame. Stuxnet, dans sa version de 2009, contenait donc Flame.
Cette ressource 207 était dédiée à la propagation du virus par clé USB et à l'exploitation d'une vulnérabilité Windows alors inconnue pour l'élévation de privilèges. Cette similitude dans le code et l'exploitation d'une telle vulnérabilité 0 Day dans Windows laissent assez peu de doute aux experts : les développeurs des deux virus sont en lien. "Ils ont coopéré au moins une fois. Cela confirme nos soupçons, les opérations Stuxnet et Flame étaient deux projets parallèles portés par les mêmes entités", a clairement annoncé Roel Schouwenberg, un autre chercheur de Kaspersky.
Après 2009, et la correction de la vulnérabilité Windows utilisée, cette "ressource 207 " a été retirée de Stuxnet, ce dernier se basant à partir de 2010 sur de nouvelles méthodes. Les deux virus se développeront alors de manière indépendante.
Mais d'autres liens unissent les deux virus : tous les deux d'une rare sophistication, ils ont aussi été notamment découverts en Iran. Ils seraient aussi vraisemblablement financés par un ou plusieurs Etats, certains observateurs citant volontiers les Etats-Unis et Israel. D'ailleurs, des experts en cryptographie viennent de découvrir que les méthodes d'attaque utilisées par Flame se basaient sur des techniques alors non découvertes et publiées, suggérant un travail de pointe que peu de personnes dans le monde auraient été capables de réaliser.