Flame, le successeur de Stuxnet

29/05/12 à 12:59 - Mise à jour à 12:59

Source: Datanews

L'infâme Stuxnet semble avoir un descendant nettement plus fort et plus complexe encore sous la forme de Flame, qui ne sabote pas, mais espionne probablement depuis des années déjà. Il y a quelques années, Stuxnet avait défrayé la chronique en attaquant et en sabotant des systèmes industriels. Sa victime fut l'Iran, où des centrifugeuses au gaz pour l'enrichissement d'uranium avaient été sabotées. Stuxnet engendra pas mal de spéculations, du fait qu'il était particulièrement sophistiqué, ce qui fit supposer que ce maliciel (malware) était une arme fabriquée par le gouvernement d'un pays. Ensuite, l'on vit apparaître encore DuQu, un autre maliciel soupçonné d'attaques contre des installations industrielles.

Flame, le successeur de Stuxnet

L'infâme Stuxnet semble avoir un descendant nettement plus fort et plus complexe encore sous la forme de Flame, qui ne sabote pas, mais espionne probablement depuis des années déjà.

Il y a quelques années, Stuxnet avait défrayé la chronique en attaquant et en sabotant des systèmes industriels. Sa victime fut l'Iran, où des centrifugeuses au gaz pour l'enrichissement d'uranium avaient été sabotées. Stuxnet engendra pas mal de spéculations, du fait qu'il était particulièrement sophistiqué, ce qui fit supposer que ce maliciel (malware) était une arme fabriquée par le gouvernement d'un pays. Ensuite, l'on vit apparaître encore DuQu, un autre maliciel soupçonné d'attaques contre des installations industrielles.

Le spécialiste russe de la sécurité Kaspersky Lab annonce à présent l'existence d'un nouveau maliciel, baptisé Worm.Win32.Flame. Ce dernier a été découvert dans le cadre d'une recherche d'un autre malware baptisé 'Wiper', et ce à la demande et en collaboration avec l'International Telecom Union (ITU). Flame est décrit comme un 'attack toolkit' particulièrement massif (quelque 20 Mo) et complexe (20 modules environ) offrant des caractéristiques de cheval de Troie, de porte dérobée ('backdoor') et de ver ('worm'). Ce malware est capable de se propager tant via les réseaux que par les supports de stockage mobiles.

Contrairement à Stuxnet (et à DuQu), Flame agit comme un système d'espionnage, qui étudie le trafic des réseaux, réalise des captures d'écran (screenshots), stocke des communications, scanne des claviers, etc., selon Kasperky Lab. Les chercheurs estiment que le maliciel est actif depuis le début 2010 déjà et est encore et toujours actualisé. Il se peut même que des versions aient déjà circulé avant cela. Sur base de son activité, Kasperky Lab pense en outre qu'il s'agit d'un maliciel créé ou commandité par un gouvernement. Actuellement, des systèmes semblent avoir été attaqués dans sept pays: Iran, Israël, Soudan, Syrie, Liban, Arabie Saoudite et Egypte.

Le CERT iranien a dès lors envoyé une mise en garde, dans laquelle ce maliciel est désigné par le terme 'Flamer' (puis par celui de 'Flame' dans une version ultérieure de l'avertissement). A l'University of Technology and Economics de Budapest, le laboratoire CrySys du département 'télécommunications' a réalisé une analyse de ce maliciel Flamer baptisé sKyWIper.

Le gros problème que pose Flame, c'est sa complexité, ce qui fait que de nombreuses fonctions différentes peuvent être exécutées. En raison de la taille du maliciel, l'analyse pourrait encore durer un certain temps. Aujourd'hui, l'on craint que le malware soit actif depuis longtemps déjà et qu'il aurait ainsi pu recueillir pas mal d'informations.

L'an dernier déjà, Kaspersky Lab soupçonnait l'existence de descendants de Stuxnet et DuQu, mais Flame n'aurait pas utilisé la plate-forme 'Tilded' étudiée à l'époque. Eugene Kaspersky, le directeur de Kaspersky Lab, met en garde depuis longtemps déjà contre la prolifération de maliciels de type Stuxnet et contre les dangers spécifiques que cela représente pour l'infrastructure nationale critique. Il a déjà appelé à élaborer une sorte de pacte anti-attaques entre pays dans le domaine de l'utilisation de 'cyber-armes'.

Pour tous ceux qui veulent en savoir plus, nous proposons les liens suivants:
- L'avertissement de Kasperky Lab et les FAQ de Kaspersky.

- Le message du CERT iranien (Computer Emergency Response Team)

- L'étude du laboratoire CrySys hongrois.

En savoir plus sur:

Nos partenaires