Source Kaspersky Lab
Flame, le dernier cyber-missile connu vise des sites du moyen-orient
S'achemine t-on vers une escalade dans le domaine des cyber-conflits avec les cyber-armes de dernière génération ? Flame officiellement "dévoilé" au grand public lundi 28 mai 2012 se caractérise par deux points dans la "découverte" de cyber-armes: les Etats sont visés comme victimes mais aussi et c'est nouveau ... comme concepteurs de ces cyber-armes. Autre aspect plus technique: la complexité de Flame est telle qu'il sait s'adapter intelligemment a son environnement et opérer en "cyber-bande" tout en effaçant ses traces. Reste que ce malware est davantage une compilation de techniques connues, déjà recensées qu' un cyber-prototype comme l'a été Stuxnet en 2010 voire d'autres malwares avant: le botnet Zeus, le ver Conficker...
Proche de Stuxnet (apparu officiellement en 2010, lire ci dessous) Flame, dernier venu officiel parmi les cyber-armes, sait opérer discrètement en brouillant ses propres traces sur divers environnements informatiques. Il appartient à la catégorie des malwares de cyber-espionnage comme Stuxnet et Duqu.
Que fait-il ? un programme fourre tout caméléon et communicant
« Flame » opére des captures d'écran, des enregistrements via un micro de PC par exemple des conversations audio, ou encore déclenche une fonction "d'écoute" via la connexion Bluetooth des équipements (devices) qu'il découvre sur le site "cyber-squatté". Bref il s'adapte a son environnement. Rien de nouveau, ces techniques sont connues depuis des années. En revanche, elles n'avaient jamais été rassemblées en un seul et même code qui constitue une cyber-arme universelle. Mais pour quelle cible ?
Flame, c'est un cyber-missile "caméléon" ce qui le rend encore plus redoutable. N'oublions pas que son "grand-frère" Stuxnet "Installé" discrétement dans le système ciblé sait "découvrir" son environnement et ouvrir des ports secrètement afin de demander a des programmes complices hébergés sur des serveurs externes d'envoyer toutes les informations et codes complémentaires pour s'interfacer avec les machines qu'il espionne. Le cyber-missile opère en cyber-bande.
Une conception modulaire voulue par ses "développeurs":
Flame repose sur les bases d'une architecture modulaire composée de lignes de codes qui échangent des informations afin de "s'auto-enrichir" au niveau de leurs connaissances des systèmes "visités". Le tout sans laisser d'empreintes numériques bien sûr. Avantage, chaque module se concentre sur quelques fonctions précises et échange des données avec d'autres modules via un "bus" standardisé. Il faut savoir que ce type de "logiciels" tout comme ceux commercialisés dispose de versions 1.0.0, 1.1.0.... en fonction de son niveau d'enrichissement et des environnements dans lesquels il fonctionne. Logiquement, en stratégie pure, un code ne sert qu'une seule fois pour mener après renseignement une opération "cyber-commando".
20 fois plus de lignes de codes que Stuxnet
Comme le souligne Laurent Heslault, Directeur des Technologies de Sécurité chez Symantec, "20 mega pour Flame et 600 ko pour Stuxnet, on peut dire que Flame est une boite a outils très lourde". Une boite sophistiquée qui peut résister longtemps aux tentatives de "reverse engineering" (étude des lignes de code d'un programme malware pour remonter aux mécanismes de sa conception). Selon Kaspersky lab, qui pense pouvoir communiquer positivement autour de ce malware, "la sophistication de la menace ne laisse aucun doute sur le fait que c'est un État qui a sponsorisé la recherche". Les Etats sont visés comme victimes et ... concepteurs. Et c'est nouveau car désormais quasi officiel.
Dans le cas de Flame, le ministre israélien des Affaires stratégiques a d'ailleurs étayé ces spéculations expliquant qu'il trouvait justifié le recours à de puissants virus informatiques afin de contrer la menace nucléaire iranienne. Selon l'agence iranienne Fars, le virus est déjà responsable du vol à grande échelle au cours des dernières semaines de données, sans préciser quels types de données avaient été piratés. Toujours selon Fars, Flame serait particulièrement actif en Iran, au Soudan, en Syrie, en Arabie Saoudite et en Égypte. Les autorités iraniennes viennent d'affirmer qu'elles avaient à préparer un anti-virus capable de l'éliminer.
L'impact réel de Flame ?
Outre les "activités" classiques de cyber-espionnage, deux questions stratégiques se posent au sujet de cette nouvelle génération de malware "stratégiques": depuis combien de temps sont ils "dormants" au sein des systèmes d'informations ? Un labo réputé a Budapest estime que ce type de programme malveillant a plusieurs années de "tests" avant d'opérer "officiellement" (http://www.crysys.hu/skywiper/skywiper.pdf) .
Autre interrogation: combien de "copies / variantes" existent pour quelles cibles avec quels objectifs ? Enfin, la duplication de ces codes quasi publics peut être une redoutable seconde arme comme le souligne Ralph Langner, Security consultant en VO: "The attack vectors and exploits used by Stuxnet can be copied and re-used - the technology is out there on the internet”
Qui a conçu Flame ?
Les experts le murmurent en "off": ces cyber-menaces de dernière génération, hyper sophistiquées, nécessitent pour leur conception et le déploiement sur les systèmes informatiques ciblés une organisation disposant de très gros moyens humains, financiers et techniques. On pense notamment à des services ou officines d'Etats. Les nations peuvent utiliser ces cyber-armes dans le cadre de leur politique de Défense liée aux techniques de "cyber-influence". Kaspersky lab le rappelle: « Il y a trois groupes qui développement des virus : les cybercriminels, les hacktivistes et les Etats". Flame n’est pas conçu pour voler de l’argent, l'appat du gain n'est pas l'objectif. De plus, il diffère sensiblement des outils plus simples utilisés par les hactivistes, les cyber-militants du Net. Reste la cyber-défense et... les Etats.
Les multinationales aussi...
Rappelons que au delà des aspects purement "géo politiques", les acteurs privés du monde économique sont concernés par cette dernière génération de malwares. Ainsi, des sociétés comme Microsoft, Google... ont été à un moment ou un autre confrontées à des soucis de sécurité. Elles ont compris que, pour se protéger de ces attaques, le plus simple était d’embaucher ceux qui ont réalisé ces intrusions. Aux Etats-Unis, Apple, Amazon, la CIA mais aussi le Pentagone, les services de renseignement britanniques se sont lancés à la recherche de spécialistes que la grand public connait sous le nom générique de Hackers. L'Agence de recherche et développement du Pentagone finance même des projets issus de ces communautés.
Combien de cyber-divisions ?
Reste la question clé: combien de cyber-guerriers sont opérationnels dans le monde. (cf attypique.com) "Si Flame a progressé dans l'ombre pendant cinq ans, la seule conclusion logique est qu'il y a d'autres opérations en cours dont nous ne savons rien", estiment plusieurs experts de Kaspersky Lab. Derniere question: qui dispose aujourd'hui d'un cyber-bouclier contre ces cyber-armes ?
jpbichard@gmail.com
A consulter aussi:
http://www.securelist.com/en/blog?weblogid=208193522
http://www.bbc.com/news/technology-18238326
http://www.securelist.com/en/blog/208193538/Flame_Bunny_Frog_Munch_and_BeetleJuice
http://www.us-cert.gov/control_systems/pdf/ICS-TIP-12-146-01.pdf
Source: Stuxnet: Anatomy of a Computer Virus from Patrick Clair on Vimeo.
----------------------------------------------------------------------------------------------------------
E-reputation dans ATTYPIQUE.COM, une rubrique de jpbichard@gmail.com / http://on.fb.me/mr8qYo
Duqu (http://www.crysys.hu/duqudetector.html) ne doit pas faire oublier Stuxnet, le cyber-missile à l'origine de la mise hors service d'une centaine de centrifigeuses dans une usine d'enrichissement nucléaire iranienne.
Le malware hyper sophistiqué (cf vidéo et liens) Stuxnet utilisé pour saboter le programme nucléaire iranien aurait été implanté par un agent double travaillant pour Israël. L’agent a utilisé une clé USB piégée pour infecter les machines au cœur de l’installation nucléaire de Natanz, selon un rapport publié mercredi 11 avril 2012
http://www.forbes.com/sites/timworstall/2011/08/13/stuxnet-and-the-iranian-nuclear-program/2/
En savoir plus sur Stuxnet, Duqu...:
http://anti-virus.by/products/pc/52.html
http://www.kaspersky.com/sas2012#tab=tab-2
RAPPELS: quelques éléments de réflexion sur le cybercrime:
Au cours des trois premiers mois de 2011, PandaLabs a identifié une moyenne de 73 000 souches de nouveaux logiciels malveillants, dont la plupart étaient des chevaux de Troie. En outre, il y a une augmentation de 26% de nouvelles menaces par rapport à la même période de l’an dernier.
Le mode international et hyper-réactif propre à l'univers d'Internet pose un problème majeur aux chercheurs qui luttent contre le développement de la cybercriminalité. Ou se cachent les cybercriminels? Comment les traquer au niveau du globe (et pas seulement d'un pays ou d'un continent) ? Quelles lois internationales s'appliquent à l'échelle mondiale face à ces nouvelles générations de cybermenaces ? Comment geler les avoirs considérables détenus par les industriels dy cybercrime ? Comment stopper le développement de malwares de dernière génération tels que Stuxnet, capable de s'attaque aux systèmes d'information industriels au coeur du fonctionnement de la plupart des usines et autres organisations et services stratégiques ?
Au plan individuel, quel type d'authentification sécurisée doit on développer pour les internautes , Faut-il un passeport pour Internet ? Quid de notre vie privée ?
http://www.ted.com/talks/lang/fre_fr/mikko_hypponen_fighting_viruses_defending_the_net.html
http://www.youtube.com/watch?v=ZCNTnrGk7fs
Dec 2012:
http://www.intelligence-strategique.eu/2011/duqu-et-stuxnet-deux-cyberarmes-un-maitre-doeuvre/
(novembre 2011)
http://www.barracudalabs.com/SNS/
