Flame, le malware le plus perfectionné au monde?

Une opération de cyber-espionnage d’envergure

On ne parle plus de virus mais bien de quelque chose de plus important, dans tous les sens du terme. « Flame », est un malware espion composé de différents éléments modulaires, découvert dans plusieurs installations précises en Iran, en Palestine, au Soudan, en Syrie…et dans plusieurs autres pays du Moyen-Orient.

Ce ciblage très précis semble indiquer une attaque perpétrée par une entité étatique, qui pourrait seule trouver son compte dans le déploiement d’une arme informatique de cette envergure. Les experts s’accordent à dire que ce malware partagerait des liens de parenté étroits avec Stuxnet et Duqu, qui visaient les mêmes types de structure dans la même région du globe.

Le programme, d’une taille inhabituelle de 20 Mégabytes, se divise en plusieurs modules, des plug-ins activés sur commande selon les besoins de l’opérateur. A la base, il s’agit d’un installeur de 6 Mb qui se développe insidieusement sur une machine et étend ses racines dans tous le système. Une machine entièrement effacée par Flame ne présente plus aucune trace du malware et aucune ligne de code n’a pu être récupérée.

Une attaque sans précédent

L’action du malware est multiple, vol de données, destruction de fichiers et du système entier, enregistrement des conversations (il active le microphone à l’insu de l’utilisateur), balise bluetooth (pour analyser les périphériques Bluetooth alentours) et bien sûr les envois de screenshots à intervalle réguliers. Le malware possède également un module renifleur, capable de collecter les noms d’utilisateurs et mots de passe des comptes connectés au réseau.

Les questions qui se posent maintenant sont d’ordres différents. D’un point de vue technique, les techniciens de Kasperksy-rejoints par d’autres experts dans le domaine-auront du pain sur la planche pour analyser le code, incompréhensible pour l’instant. Plusieurs années seraient nécessaires pour déchiffrer toutes les données récupérées, donnée pessimiste si l’on prend en compte l’ancienneté du malware (une première trace de Flame remonterait à 2007). Une interrogation subsiste également sur l’origine d’un tel programme malveillant. Si Stuxnet et Duqu sont de la même famille, plusieurs suspects s’aligneraient devant le mur des accusés. Mais il est encore trop tôt pour accuser les Etats-Unis, Israël ou la Chine d’être derrière une opération de cette envergure.

Les autorités iraniennes ont tout de même annoncé la publication d'un détecteur de Flame et d'un "extincteur" pour le supprimer.

Maj: Bitdefender est le premier à publier une application pouvant détecter et supprimer Flame (ici "Flamer").

A lire:

Rapport Pdf sur Wiper de Crysys: http://www.crysys.hu/skywiper/skywiper.pdf

Rapport d'incidents par Kapserksy: http://www.securelist.com/en/blog?weblogid=208193522

Un article de Sophos sur le sujet: http://nakedsecurity.sophos.com/2012/05/28/flame-malware-cyber-attack/