/image%2F1430748%2F20211104%2Fob_f0b73a_photo.jpg)
Découvert au Proche-Orient par Kaspersky Lab, la société russe spécialisée dans les antivirus, ce malware circulerait depuis plus de cinq ans et viserait, comme Stuxnet, des entreprises sensibles et des sites académiques à des fins de "cyber-espionnage. Encore une nouvelle arme pour la cyberguerre ?
Stuxnet, on connaissait (j’ai aussi publié un article sur ce ver) : C’est un virus informatique doué d’une complexité inédite, soupçonné d’être responsable de la panne de centrifugeuses nucléaires iraniennes en 2010. En cette année beaucoup d’expert ont pointé du doigt un grand Etat ou un groupe d’Etats car un hacker ne serait capable de tel niveau de technologie. Mais voici qu’arrive Flame, un virus que la firme d’antivirus Kaspersky décrit comme étant 20 fois plus gros que Stuxnet et 100 fois plus que n'importe quel logiciel pirate classique conçu pour subtiliser des données financières :
« Flame peut facilement être décrit comme une des menaces les plus complexes jamais découvertes. C’est énorme et incroyablement sophistiqué. Cela redéfinit quasiment la notion de cyberguerre et de cyberespionnage. »
Ce ver est capable de collecter des données à distance, d'intervenir sur les réglages d'un ordinateur, d'activer le micro d'un PC, d'enregistrer une conversation, de faire des captures d'écran ou encore de se connecter à des messageries instantanées... Selon Kaspersky, Flame "peut voler des informations importantes, pas uniquement contenues dans les ordinateurs, des informations sur des systèmes visés, des documents archivés, des contacts d'utilisateurs et même des enregistrements audio de conversations". Il peut même accéder au module Bluetooth lorsqu’il est activé et collecter des informations sur les terminaux à proximité qui sont détectés par la machine infectée.
Un chercheur en sécurité déclarait : « S’il fallait comparer Flame et Stuxnet, le premier serait davantage un bombardement de grande ampleur, le second une frappe chirurgicale. » Nous comprenons bien que là où Stuxnet ne frappait que certains éléments industriels qui n’étaient utilisés que dans certaines centrales nucléaires iraniennes, Flame a été retrouvé dans toutes sortes de terminaux (universités, entreprises, particuliers...).
Une partie des fonctionnalités de cette cyber-bombe découverte pour l’instant, ressemble à un véritable catalogue d’espionnage :
- il permet de faire des captures d’écran à intervalles réguliers (et même plus fréquemment lorsque l’ordinateur infecté utilise un service d’e-mails ou de tchat) ;
- en détectant la présence d’antivirus à jour, il adapte son comportement pour rester invisible plus longtemps ;
- il peut scruter toute l’activité d’un ordinateur (et procéder à des enregistrements à l’aide du micro ou des caractères tapés sur le clavier) ;
- il est capable d’explorer et de « scanner » le réseau sur lequel est branché l’appareil infecté et d’y récupérer des mots de passe ;
- sur certaines machines, il peut siphonner un certain nombre d’informations des téléphones situés à proximité (et notamment le carnet d’adresses) ;
- ses fonctionnalités peuvent être étendues et mises à jour à distance ;
- il est également capable de renvoyer toutes ses informations à ses commanditaires (où et surtout qui ? Mystère).
Si Flame a progressé dans l'ombre pendant cinq ans, la seule conclusion logique est qu'il y a d'autres cyberopérations en cours dont nous ne savons rien et la chose la plus effrayante pour moi est que si c'est ce dont ils étaient capables il y a cinq ans, je peine à imaginer ce qu'ils conçoivent maintenant.
Patrick TAKOUGNADI
Consultant en Sécurité Informatique