Tout ce que vous avez toujours voulu savoir sur Flame sans oser le demander

le 05/06/2012 à 17:00:00

Le malware Flame est entré sur la scène internationale il y a quelques jours et depuis il ne se passe pas une journée sans qu’une dépêche annonce un rebondissement dans l’affaire : Contestation, action précise, déclarations, Mea Culpa…bref l’actualité est suffisamment riche pour condenser les faits en quelques questions/réponses, histoire de s’y retrouver.


Les questions sur Flame les plus posées


Flame, qu’est-ce que c’est ?


Flame est un malware de type cheval de Troie. Il possède un module de réplication qui fait de lui un ver. Il possède un backdoor et peut agir comme un keylogger avancé. En bref, c’est une sacré bestiole, trop polyvalente pour être prise à la légère. Kaspersky, l’éditeur d’antivirus qui l’a présentée, lui a donné un statut de cyberarme d’espionnage. Deux termes à ne pas utiliser à la légère. Il a été nommé ainsi par Kaspersky car il a trouvé des traces du mot Flame dans le code. Au départ, l’ONU a soumis à la société russe un malware nommé Wiper ou Viper, repéré sur des ordinateurs du ministère iranien de l’hydrocarbure.


Origine de Flame


Le code de Flame


 


D’où vient ce malware ?


Personne ne le sait. Kaspersky pense que seul un état peut se payer les services de développeurs et de spécialistes pour élaborer un tel programme, puis l’utiliser à des fins d’espionnage et de sabotage. Comme les pays du Moyen et du Proche Orient ont été visés, beaucoup pointent du doigt les Etats-Unis et Israël-qui viennent d’admettre être derrière Stuxnet, le ver qui a ciblé les centrales nucléaires iraniennes il y a quelques années et qui a échappé à leur contrôle…mais toutes les hypothèses sont permises.


Que fait-il exactement ?


Une fois implanté dans un système, il peut se déployer et activer tous ses modules. D’une taille de 6 Mo, il passe à 20 Mo et s’imbrique tellement dans l’OS qu’il est impossible de le détecter et de le déloger. Enfin, maintenant ce n’est plus le cas. Conçu comme un outil espion, il sert avant tout à collecter des informations, notamment les fichiers PDF et les plans de conception. Il peut également prendre des copies d’écran, enregistrer les conversations audio et d’effacer entièrement le contenu de l’ordinateur. Il peut également récupérer mots de passe et données sensibles. A priori destiné aux grandes entreprises et à quelques utilisateurs, il peut très bien être utilisé à des fins domestiques.


flame carte de l'infection


 


Comment s’infiltre-t-il dans nos systèmes ?


Repéré dans une région du globe dans la tourmente, il n’a cependant été décelé que sur quelques centaines de machines. Comme il s’agit d’un trojan, il a pu très bien se présenter comme un programme légitime, notamment comme un gadget Windows (et utilisant un faux certificat de la marque). A ce propos, Microsoft propose une mise à jour système critique pour protéger ses utilisateurs contre cette faille. Il est très probable que beaucoup de postes infectés le soient suite à un partage de clés USB vérolées, constituant autant de foyers infectieux.


flame faux certificat


Faux certificats Windows utilisés par Flame


 


Comment se débarrasser de Flame ?


Si votre antivirus est à jour, normalement cela devrait bien se passer. Pour être sûr, il existe des outils rapidement élaborés par différentes sociétés, capables de trouver et d’éradiquer le malware. L’Iran aurait même développé sa propre parade le jour de la déclaration de Kaspersky. Quoi qu’il en soit, si le malware a bien été repéré en Europe, il y a peu de chances qu’il se trouve pour le moment dans nos systèmes.


Faut-il en avoir peur ?


A priori non. C’est toujours pareil, avec un antivirus à jour et si les précautions sont prises, vous ne courrez aucun risque. De plus, destiné à des structures particulières, vous ne faites pas partie du panel visé par les hackers. Au pire, ce code pourrait être utilisé et détourné de sa fonction initiale pour se transformer en pompe à mots de passe et à données personnelles mais d’autres virus plus légers le font également et pour le coup font l’objet de moins d’attention.


Quel est son lien de parenté avec Stuxnet ou Duqu ?


Difficile à dire. Si son code semble très différent de celui de ces deux vers, il pourrait avoir le même commanditaire. Ou pas. En tout cas s’il s’agit réellement de la troisième cyber arme jamais découverte, elle ne partage finalement pas grand-chose au niveau structurel. Tout au plus, pourrait on retrouver certains centres de commande communs mais cela serait étonnant.


Cyber arme dévastatrice ou gros malware classique?


Ce sujet est polémique et le débat est toujours ouvert chez les professionnels et les experts en sécurité. Beaucoup critiquent l’attitude alarmiste de Kaspersky qui a proclamé Flame comme cyberarme sans vraiment en avoir calculé la portée. Certains de ces concurrents-comme Eset-ont minimisé l’impact du malware, tandis que d’autres proclamaient l’avoir bloqué plusieurs années de cela, la première trace de Flame remontant à 2007. D’autres n’hésitent pas à ouvertement critiquer l’attitude de l’éditeur russe, l’accusant de créer un climat paranoïaque propice à la vente de logiciels-et de fustiger l’industrie toute entière. Bref, les esprits s’échauffent et une conclusion se profile assez naturellement : Il est encore trop tôt pour savoir que quoi il en retourne.


Si Kaspersky en a certainement trop fait dans cette annonce, il ne faut pas sous-estimer la menace de Flame qui pourrait devenir rapidement un standard pour certains hackers professionnels. D’un autre côté, l’utilisateur lambda court plus de risque avec un bon vieux ransomware gendarmerie attrapé sur un site infecté et qui bloquera son PC plutôt qu’avec un Flame conçu dans un but bien précis et pour certains types d’utilisateurs.


Et à l’avenir ?


Une chose est sûre, cette annonce va changer la donne pour les communicants qui ont déjà adopté un ton différent pour traiter le sujet. Si Kaspersky en tire de gros bénéfices-aussi bien pécunier que de notoriété-les autres sociétés de sécurité vont rapidement se mettre à trouver des cyber-armes et continuer à alimenter leur blog de billets de sécurité alarmants. Evidemment, il y aura d’autres Flame, Stuqu ou Dunet mais pour le moment rien ne justifie une entrée en guerre informatique, ni de nationaliser toutes les sociétés de sécurité.


Liens et ressources utiles:


Wired on Flame


Owni s'est focalisé sur le traitement de l'annonce


Le point de vue d'Eric Filiol sur Atlantico


Et beaucoup d'autres...


 


Images Wired.


Benoît Guyard

L'antivirus le plus récompensé!

Antivirus et protection antivirale

Consultez d'autres portails d'informations sur les virus et les attaques virales »

Boutique antivirus

  • Bitdefender en téléchargement

    Bitdefender en téléchargement

    Toute la gamme Bitdefender antivirus au meilleur prix!

    Voir » Bitdefender 2013

  • Eset en téléchargement

    Eset en téléchargement

    L'antivirus le plus léger et le plus récompensé du marché !

    Voir » Eset Nod32

  • Gdata en téléchargement

    Gdata en téléchargement

    La protection maximale de vos ordinateurs grâce au méta moteur !

    Voir » Gdata 2013

  • Norton en téléchargement

    Norton en téléchargement

    L'antivirus le plus connu au monde et le plus accessible

    Voir » Norton Internet Security

  • Kaspersky en téléchargement

    Kaspersky en téléchargement

    L’antivirus Kaspersky, la protection hybride à la fois puissante et rapide

    Voir » Kaspersky Antivirus 2013