Flame, un virus espion d'Etat

Au début du mois de mai, l'Union internationale des télécommunications (UIT), agence des Nations unies basée à Genève, reçoit un appel à l'aide de plusieurs Etats du Moyen-Orient, car diverses installations pétrolières de la région sont victimes d'une attaque dévastatrice : des masses de données stockées sur leurs ordinateurs disparaissent soudainement. Fin avril, pour tenter de réparer les dégâts, l'Iran avait dû couper temporairement les réseaux informatiques de son industrie pétrolière. Le coupable semble être un nouveau virus, opportunément baptisé "Wiper" ("effaceur").


Aussitôt, les experts du monde entier croient deviner que l'affaire est un nouvel épisode de la mystérieuse cyberguerre menée contre l'Iran par des pirates inconnus. Déjà, en 2010, un virus de conception inédite, baptisé "Stuxnet", s'était introduit dans les ordinateurs contrôlant les centrifugeuses de l'usine d'enrichissement d'uranium iranienne de Natanz, et avait réussi à les saboter. Le virus provoqua même des explosions, une première mondiale dans l'histoire du piratage informatique. Puis, à l'automne 2011, les Iraniens avaient trouvé dans leurs réseaux informatiques un virus espion, baptisé "Duqu", conçu pour voler des informations sensibles. Ces agressions n'étaient pas revendiquées, mais, selon les experts, seul un Etat pouvait mobiliser les moyens humains et financiers nécessaires pour créer des programmes aussi complexes et innovants. Les soupçons s'étaient portés sur les Etats-Unis, Israël ou les deux.

Cette fois, pour neutraliser Wiper, l'UIT fait appel aux services de la société de sécurité russe Kaspersky. Très vite, les Russes repèrent sur les ordinateurs infectés un nom de fichier déjà détecté dans Duqu. Intrigués par la similitude, ils s'aperçoivent que, cette fois, le fichier suspect a été intégré dans un virus encore non identifié. Ils le baptisent "Flame", car ce mot mystérieux revient fréquemment dans son code informatique.

UNE GROSSE "BOÎTE À OUTILS"

Parallèlement, d'autres équipes traquent le virus effaceur. Début mai, le laboratoire hongrois CrySys, de l'université de technologie de Budapest, est contacté par des commanditaires souhaitant rester anonymes, qui lui proposent d'enquêter sur Wiper. CrySys est très réputé, car c'est lui qui a détecté Duqu en 2011.

Très vite, les Hongrois découvrent le même virus que les Russes, mais s'aperçoivent qu'il s'agit d'un monstre d'une puissance inédite. Face à l'ampleur de la tâche, ils transmettent le dossier à la société de sécurité américaine Symantec, qui se met sur l'affaire avec de gros moyens logistiques.

Le 28 mai, les Russes, les Hongrois, les Américains, et même les Iraniens, qui ont participé à la traque, publient des communiqués annonçant la découverte du mégavirus, que tout monde décide d'appeler Flame. Wiper, cible originelle de l'enquête, est complètement délaissé - d'autant qu'il semble désormais inactif.

Une fois Flame identifié, les experts de plusieurs pays mettent au point en urgence des programmes pour le bloquer. Ils se lancent aussi dans une œuvre de longue haleine - l'analyse du code qui le compose. Ils vont de surprise en surprise. Dans sa version complète, le code de Flame pèse 20 mégaoctets - vingt fois plus que Stuxnet.

Il s'agit d'un système d'espionnage, qui travaille en secret, sans perturber le fonctionnement de l'ordinateur. Les chercheurs le comparent à une grosse "boîte à outils", contenant une large panoplie de logiciels ayant chacun leur spécialité. Il est capable d'identifier et de recopier n'importe quel type de fichier, de mémoriser chaque frappe sur le clavier, de faire des captures d'écran, ou encore d'activer le micro de l'ordinateur pour enregistrer les bruits et les conversations alentour. Il peut même déclencher l'émetteur-récepteur sans fil Bluetooth pour communiquer avec des ordinateurs portables ou des smartphones situés à proximité.

SA MISSION REMPLIE, IL S'AUTODÉTRUIT

Comme la plupart des logiciels espions, il est piloté à distance par plusieurs "centres de commande et de contrôle", installés sur des serveurs situés n'importe où dans le monde. Flame vise les machines équipées du système d'exploitation Windows de Microsoft : grâce à des certificats de sécurité fabriqués à l'aide d'algorithmes très complexes, il se fait passer pour une mise à jour de Windows. Il ne se propage pas automatiquement sur le réseau, mais seulement au coup par coup, sur décision d'un centre de commande - le but étant d'éviter une prolifération anarchique qui accroîtrait les risques de détection.

Avant de transmettre les données aux centres de commande, le virus sécurise ses communications grâce à des systèmes de cryptage intégrés. Enfin, il est doté d'une fonction "suicide" : quand il a rempli sa mission, il s'autodétruit. Flame possède peut-être d'autres fonctions, qui restent à découvrir, car l'analyse ne fait que commencer. Par ailleurs, les chercheurs estiment qu'il a fonctionné pendant au moins deux ans avant d'être repéré.

En ce qui concerne les victimes, les enquêteurs ont identifié dans un premier temps plus de 400 ordinateurs infectés : environ 200 en Iran, une centaine en Palestine, une trentaine au Soudan et en Syrie, quelques-uns au Liban, en Arabie saoudite, en Egypte... Au total, le nombre de victimes est estimé à un millier.

A ce stade, les sociétés de sécurité refusent de dire quels secteurs d'activité ont été visés dans chaque pays. Elles notent seulement que Flame recherchait particulièrement les fichiers Autocad (dessins industriels, plans d'architecte, schémas de machines, etc.). Elles affirment aussi que le virus a été trouvé sur des ordinateurs installés chez des particuliers - soit parce que leur vie privée intéressait les espions, soit parce qu'ils travaillaient sur des dossiers sensibles depuis leur domicile.

A l'autre bout de la chaîne, les enquêteurs ont identifié une quinzaine de centres de commande clandestins, qui déménageaient régulièrement à travers l'Europe et l'Asie, et fonctionnaient sous couvert de quatre-vingts noms de domaine différents. Grâce à l'aide de GoDaddy et d'OpenDNS, deux sociétés américaines de gestion de noms de domaine, Kaspersky parvient à détourner le trafic de Flame vers ses propres serveurs, pour intercepter les flux de données entre les centres de commande et les victimes. Cela dit, peu après l'annonce officielle de la découverte de Flame, le trafic cesse totalement.

LES ETATS-UNIS ET ISRAËL SOUPÇONNÉS

Pour les sociétés de sécurité, l'investigation s'arrête là : pas question de chercher à démasquer les concepteurs de Flame ni ses commanditaires. En théorie, ces enquêtes sont du ressort de la justice des pays concernés, mais les obstacles techniques, juridiques et diplomatiques sont quasi insurmontables. Kaspersky se contente d'affirmer que seul un Etat dispose des moyens logistiques et financiers nécessaires pour créer un outil aussi sophistiqué.

De son côté, le centre iranien Maher publie un communiqué très technique : "Compte tenu du mode de nommage des fichiers, des méthodes de propagation, du niveau de complexité, de la précision du ciblage et de la perfection de son fonctionnement, [Flame] a sans doute un lien étroit avec (...) Stuxnet et Duqu (...). Les récents incidents de pertes massives de données en Iran sont probablement le résultat de l'installation de modules de ce virus." Levente Buttyan, directeur du CrySys de Budapest, est plus direct : "Il n'y a aucune preuve, mais quand on examine les méthodes de travail, et qu'on considère la région où se concentrent les cibles, il est clair que les soupçons se portent sur les Etats-Unis et Israël."

La paternité de Flame reste, à ce jour, inconnue, mais la thèse de l'implication des Etats-Unis a été renforcée par la publication le 5 juin d'un livre intitulé Confront and Conceal : Obama's Secret Wars (Attaquer sans le dire : les guerres secrètes d'Obama) de David Sanger, correspondant du New York Times à Washington. David Sanger, très introduit à la Maison Blanche, explique en détail comment Stuxnet a été conçu, puis utilisé contre l'usine nucléaire iranienne par les services secrets américains, avec l'aide des Israéliens, au cours d'une opération baptisée "Jeux olympiques". Il affirme aussi qu'à la suite d'une erreur de manipulation, Stuxnet s'est répandu sur Internet, infectant près de cent mille machines dans le monde, mais que l'administration Obama aurait décidé de poursuivre l'opération sans se soucier des dommages collatéraux.

Or, officiellement, les Etats-Unis condamnent toutes les activités dites de "cyberguerre" et mènent une campagne diplomatique pour dissuader le reste du monde, y compris leurs alliés, de fabriquer des virus d'attaque. Après les révélations de David Sanger, la première réaction du gouvernement Obama a été d'ouvrir une enquête criminelle pour retrouver les auteurs de la fuite - un aveu implicite. De son côté, le New York Times affirme qu'avant de publier ces informations il avait prévenu le gouvernement, qui lui aurait alors demandé de ne pas publier certains détails techniques, au nom de l'intérêt national.

S'il est avéré que le gouvernement des Etats-Unis fabrique des virus, les sociétés américaines de sécurité, qui travaillent souvent pour l'Etat, se retrouvent dans la situation paradoxale de devoir contrecarrer des opérations de leur propre gouvernement. Lors d'un entretien accordé au Monde en juin 2011, le PDG de Symantec, Enrique Salem, s'était félicité d'avoir réussi à neutraliser en 2010 deux centres de commande de Stuxnet, situés en Malaisie et aux Pays-Bas, et d'avoir identifié trois failles de sécurité utilisées par le virus pour se propager. Il affirmait que Stuxnet avait été fabriqué par un "Etat", sans préciser lequel.

En ce qui concerne Flame, les responsables de Symantec rappellent qu'ils défendent en priorité les intérêts de leurs clients - mais qu'en raison de l'embargo décrété par les Etats-Unis ils n'ont pas de clients en Iran. De toute façon, les Américains ne sont pas vraiment en pointe dans la lutte contre ces virus : Stuxnet a été détecté pour la première fois par une équipe biélorusse, Duqu par les Hongrois, et Flame à la fois par les Russes, les Hongrois et... par les Iraniens, toujours aux premières loges.

Yves Eudes

Source : Le Monde.fr

Citation :

Il s'agit d'un système d'espionnage, qui travaille en secret, sans perturber le fonctionnement de l'ordinateur. Les chercheurs le comparent à une grosse "boîte à outils", contenant une large panoplie de logiciels ayant chacun leur spécialité. Il est capable d'identifier et de recopier n'importe quel type de fichier, de mémoriser chaque frappe sur le clavier, de faire des captures d'écran, ou encore d'activer le micro de l'ordinateur pour enregistrer les bruits et les conversations alentour. Il peut même déclencher l'émetteur-récepteur sans fil Bluetooth pour communiquer avec des ordinateurs portables ou des smartphones situés à proximité.

Pas très rassurant....