Après Stuxnet et Duqu, un nouveau vent de panique souffle dans l'nivers de la Cybersécurité, et bien sûr de la cyber-défense. Un nouveau virus, macro-virus devrions-nous dire est apparu. Enfin apparu, c'est inexact puisque'il sévirait en toute discrétion depuis 2 ans au moins. Découvert il y a quelques jours par Kaspersky suite aux demandes d'investigation de l'union internationale des télécommunications, celui-ci possède à première vu des caractéristiques intéressantes:
- Une remarquable furtivité donc (durée des sévices estimée à 2ans au moins), avec possibilité d'être commandé et effacé à distance
- Mouchard complet utilisant micro-capture d'écran-keylogger[1]; les données sont envoyées ensuite par Internet.
- Environnement de développement permettant a priori de reprogrammer à la volé n'importe quelle outil avec notamment une machine virtuelle; cela confère une évolutivité au virus.
- Du coup le virus n'est pas très léger: il pèserait donc dans les 20Mo ! (à comparer avec les 0,5mo de Stuxnet); si la comparaison de complexité ne peut se réduire à une comparaison de taille[2], l'architecture (représentée dans le schémas illustrant ce billet) est particulièrement complexe.
- Contamination/Propagation par phishing,Web / clé USB; réseau local
- Enfin et surtout un contamination très ciblée géographiquement:
Finalement, Flame apparaît comme un cyber-mouchard particulièrement évolué.
Cette nouvelle découverte est peu étonnante, combien d'autres virus, produits de la cyber-guerre sont à découvrir ? Cette fois-ci cependant, la source paraît identifiée; en effet, le ministre israélien des affaires stratégiques Moshé Yaalon a déclaré "Il est justifié, pour quiconque considère la menace iranienne comme une menace significative, de prendre différentes mesures, y compris celle-là, pour la stopper [...] Israël est en pointe dans les nouvelles technologie et ces outils nous offrent toutes sortes de possibilités"[3].
Laissons à présent les équipes de Kaspersky décortiquer le virus pour en savoir plus sur l'état de l'art en terme de cyber-arme. Bien que nous ne connaissions pas les données qui ont pu être extraites, et donc l'efficacité d'un tel programme, il est évident que la panoplie à disposition de la fonction "connaissance et anticipation" s'étoffe. Peut-être une leçon pour le futur livre blanc de la défense et sécurité nationale ?
NB: Les images illustrant ce billet appartiennent à kaspersky, voir ce lien pour de plus amples informations.
Notes
[1] Dispositif permettant d'enregistrer ce qui est tapé sur un clavier
[2] notamment à cause du fait que Flame contient de nombreuses librairies additionnelles lui permettant d'effectuer de la compression ou des manipulations sur les bases de données
[3] source ici