Flame, un virus plus sophistiqué que Stuxnet

Flame est un nouveau malware d'une sophistication inédite, qui se propage au Proche-Orient. La cyberguerre vient de franchir un nouveau palier avec ce ver qui dispose de nombreux moyens pour espionner ses cibles.

Après Stuxnet et Duqu, les experts en sécurité informatique viennent d'identifier un nouveau malware très sophistiqué qui s'inscrit dans la même veine : Flame. A en croire l'éditeur Kaspersky, Flame pourrait bien être la "cyber-arme la plus sophistiquée jamais rencontrée". Flame serait notamment responsable de récentes pertes de données enregistrées en Iran – une cible qui rappelle donc aussi les deux malwares précédemment cités.

Plus précisément, Flame dispose d'une "porte de derrière" pour émettre et recevoir des informations, comme un cheval de Troie. Comme les vers, il peut aussi se reproduire dans un réseau local, notamment en exploitant une vulnérabilité liée à la gestion des imprimantes par Windows et déjà utilisée par Stuxnet (MS10-061). En outre, Flame a pu infecter un ordinateur Windows 7 totalement mis à jour, ce qui laisse fortement croire qu'il utilise une faille 0 day.

Flame peut "renifler" le trafic web pour l'analyser, enregistrer les frappes d'un clavier, réaliser des captures d'écran lorsque des applications clés démarrent, et plus original, enregistrer des conversations audio. Il peut également se servir du Bluetooth pour repérer d'autres terminaux situés à proximité. En tout, 20 modules pourraient venir enrichir, à distance, les fonctionnalités du malware. Bref, Flame dispose de nombreux moyens pour dérober des informations.

Autre singularité, le malware est très lourd et peut peser, avec tous ses modules, 20 Mo (contre 500 ko pour Stuxnet). Enfin, dernier élément inhabituel : Flame est écrit avec un langage peu commun, LUA, plus répandu chez les développeurs de jeux vidéo que chez les cybercriminels. Selon Kasperky, ce virus est dans la nature depuis mars 2010. 

Si l'Iran est le pays le plus impacté, le virus s'est essentiellement propagé au Proche-Orient (Israël, Palestine, Soudan, Syrie, Liban, Arabie Saoudite et Egypte). Ses auteurs ne sont pas connus, comme ceux de Stuxnet et Duqu, mais selon Kasperky, aucun doute qu'avec de telles cibles, et une telle complexité, "un Etat a sponsorisé son développement". En revanche, aucune industrie ne semble particulièrement visée – contrairement à Stuxnet et Duqu qui ciblaient les systèmes Scada. Les victimes seraient des particuliers ou des entreprises en rapport avec les gouvernements ou des institutions liées à l'éducation.

Virus / Cheval de Troie