29mai 2012

Stuxnet, Duqu ... Flame !

208193539.png

Après Stuxnet et Duqu, un nouveau vent de panique souffle dans l'nivers de la Cybersécurité, et bien sûr de la cyber-défense. Un nouveau virus, macro-virus devrions-nous dire est apparu. Enfin apparu, c'est inexact puisque'il sévirait en toute discrétion depuis 2 ans au moins. Découvert il y a quelques jours par Kaspersky suite aux demandes d'investigation de l'union internationale des télécommunications, celui-ci possède à première vu des caractéristiques intéressantes:

  • Une remarquable furtivité donc (durée des sévices estimée à 2ans au moins), avec possibilité d'être commandé et effacé à distance
  • Mouchard complet utilisant micro-capture d'écran-keylogger[1]; les données sont envoyées ensuite par Internet.
  • Environnement de développement permettant a priori de reprogrammer à la volé n'importe quelle outil avec notamment une machine virtuelle; cela confère une évolutivité au virus.
  • Du coup le virus n'est pas très léger: il pèserait donc dans les 20Mo ! (à comparer avec les 0,5mo de Stuxnet); si la comparaison de complexité ne peut se réduire à une comparaison de taille[2], l'architecture (représentée dans le schémas illustrant ce billet) est particulièrement complexe.
  • Contamination/Propagation par phishing,Web / clé USB; réseau local
  • Enfin et surtout un contamination très ciblée géographiquement:

208193524.png

Finalement, Flame apparaît comme un cyber-mouchard particulièrement évolué.

Cette nouvelle découverte est peu étonnante, combien d'autres virus, produits de la cyber-guerre sont à découvrir ? Cette fois-ci cependant, la source paraît identifiée; en effet, le ministre israélien des affaires stratégiques Moshé Yaalon a déclaré "Il est justifié, pour quiconque considère la menace iranienne comme une menace significative, de prendre différentes mesures, y compris celle-là, pour la stopper [...] Israël est en pointe dans les nouvelles technologie et ces outils nous offrent toutes sortes de possibilités"[3].

Laissons à présent les équipes de Kaspersky décortiquer le virus pour en savoir plus sur l'état de l'art en terme de cyber-arme. Bien que nous ne connaissions pas les données qui ont pu être extraites, et donc l'efficacité d'un tel programme, il est évident que la panoplie à disposition de la fonction "connaissance et anticipation" s'étoffe. Peut-être une leçon pour le futur livre blanc de la défense et sécurité nationale ?

NB: Les images illustrant ce billet appartiennent à kaspersky, voir ce lien pour de plus amples informations.

Notes

[1] Dispositif permettant d'enregistrer ce qui est tapé sur un clavier

[2] notamment à cause du fait que Flame contient de nombreuses librairies additionnelles lui permettant d'effectuer de la compression ou des manipulations sur les bases de données

[3] source ici

10mar. 2012

Stuxnet, la cyber guerre a déjà commencé.

stuxnet.jpgAu mois de juin 2010, une société de sécurité informatique biélorusse VirusBlokAda annonce avoir découvert un nouveau virus de type cheval de Troie, qui s’attaque aux systèmes Windows. La communauté des experts en sécurité est abasourdie: ce virus utilise un grand nombre de vulnérabilités jamais découvertes encore, usurpe des certificats de constructeurs informatiques majeurs, et s'attaque à un logiciel qui contrôle des processus industriels très répandus. Va-t-on assister à des catastrophes industrielles: coupures électriques, centrales nucléaires qui s'emballent ?

Lire la suite...