Flame, un virus espion d'état Source : Lemonde.fr

1. CLOUD COMPUTING AND BROADBAND ACCESS
THE INTERNET SIMPLY AND WITHOUT CONSTRAINTS

2. Flame,
Un virus espion d'Etat
Au début du mois de mai, l'Union internationale des Cette fois, pour neutraliser Wiper, l'UIT fait appel
télécommunications (UIT), agence des Nations unies aux services de la société de sécurité russe Kaspersky.
basée à Genève, reçoit un appel à l'aide de plusieurs Très vite, les Russes repèrent sur les ordinateurs infectés
Etats du Moyen-Orient, car diverses installations un nom de fichier déjà détecté dans Duqu. Intrigués par
pétrolières de la région sont victimes d'une attaque la similitude, ils s'aperçoivent que, cette fois, le fichier
dévastatrice : des masses de données stockées sur leurs suspect a été intégré dans un virus encore non identifié.
ordinateurs disparaissent soudainement. Fin avril, Ils le baptisent "Flame", car ce mot mystérieux revient
pour tenter de réparer les dégâts, l'Iran avait fréquemment dans son code informatique.
dû couper temporairement les réseaux informatiques de
sonindustrie pétrolière. Le coupable semble être un UNE GROSSE "BOÎTE À OUTILS"
nouveau virus, opportunément baptisé "Wiper"
("effaceur"). Parallèlement, d'autres équipes traquent le virus
effaceur. Début mai, le laboratoire hongrois CrySys, de
l'université de technologie de Budapest, est contacté par
des commanditaires souhaitant rester anonymes, qui lui
proposent d'enquêter sur Wiper. CrySys est très réputé,
car c'est lui qui a détecté Duqu en 2011.
Aussitôt, les experts du monde entier croient deviner que
l'affaire est un nouvel épisode de la mystérieuse
cyberguerre menée contre l'Iran par des pirates
inconnus. Déjà, en 2010, un virus de conception inédite,
baptisé "Stuxnet", s'était introduit dans les ordinateurs
contrôlant les centrifugeuses de l'usine d'enrichissement
d'uranium iranienne de Natanz, et avait réussi à
les saboter. Le virus provoqua même des explosions, une
première mondiale dans l'histoire Très vite, les Hongrois découvrent le même virus que les
dupiratage informatique. Puis, à l'automne 2011, les Russes, mais s'aperçoivent qu'il s'agit d'un monstre
Iraniens avaient trouvé dans leurs réseaux informatiques d'une puissance inédite. Face à l'ampleur de la tâche, ils
un virus espion, baptisé "Duqu", conçu pour voler des transmettent le dossier à la société de sécurité
informations sensibles. Ces agressions n'étaient pas américaine Symantec, qui se met sur l'affaire avec de
revendiquées, mais, selon les experts, seul un Etat gros moyens logistiques.
pouvait mobiliser les moyens humains et financiers
nécessaires pour créer des programmes aussi Le 28 mai, les Russes, les Hongrois, les Américains, et
complexes et innovants. Les soupçons s'étaient portés même les Iraniens, qui ont participé à la traque, publient
sur les Etats-Unis, Israël ou les deux. des communiqués annonçant la découverte du
mégavirus, que tout monde décide d'appeler Flame.
2

3. Wiper, cible originelle de l'enquête, est complètement
délaissé - d'autant qu'il semble désormais inactif.
Une fois Flame identifié, les experts de plusieurs pays
mettent au point en urgence des programmes pour
le bloquer. Ils se lancent aussi dans une œuvre de
longue haleine - l'analyse du code qui le compose. Ils
vont de surprise en surprise. Dans sa version complète,
le code de Flame pèse 20 mégaoctets - vingt fois plus
que Stuxnet.
Il s'agit d'un système d'espionnage, qui travaille en
secret, sans perturber le fonctionnement de l'ordinateur.
Les chercheurs le comparent à une grosse "boîte à
outils", contenant une large panoplie de logiciels ayant
chacun leur spécialité. Il est capable d'identifier et
de recopier n'importe quel type de fichier, de mémoriser
chaque frappe sur le clavier, de faire des captures
d'écran, ou encore d'activer le micro de l'ordinateur En ce qui concerne les victimes, les enquêteurs ont
pour enregistrer les bruits et les conversations alentour. Il identifié dans un premier temps plus de 400 ordinateurs
peut même déclencher l'émetteur-récepteur sans fil infectés : environ 200 en Iran, une centaine en Palestine,
Bluetooth pour communiqueravec des ordinateurs une trentaine au Soudan et en Syrie, quelques-uns
portables ou des smartphones situés à proximité. au Liban, en Arabie saoudite, en Egypte... Au total, le
nombre de victimes est estimé à un millier.
SA MISSION REMPLIE, IL
S'AUTODÉTRUIT A ce stade, les sociétés de sécurité refusent
de dire quels secteurs d'activité ont été visés dans
Comme la plupart des logiciels espions, il est piloté à chaque pays. Elles notent seulement que Flame
distance par plusieurs "centres de commande et de recherchait particulièrement les fichiers Autocad (dessins
contrôle", installés sur des serveurs situés n'importe où industriels, plans d'architecte, schémas de machines,
dans le monde. Flame vise les machines équipées du etc.). Elles affirment aussi que le virus a été trouvé sur
système d'exploitation Windows de Microsoft : grâce à des ordinateurs installés chez des particuliers - soit
des certificats de sécurité fabriqués à l'aide parce que leur vie privéeintéressait les espions, soit
d'algorithmes très complexes, il se fait passer pour une parce qu'ils travaillaient sur des dossiers sensibles
mise à jour de Windows. Il ne se propage pas depuis leur domicile.
automatiquement sur le réseau, mais seulement au coup
par coup, sur décision d'un centre de commande - le but A l'autre bout de la chaîne, les enquêteurs ont identifié
étant d'éviter une prolifération anarchique qui accroîtrait une quinzaine de centres de commande clandestins, qui
les risques de détection. déménageaient régulièrement à travers l'Europe et
l'Asie, et fonctionnaient sous couvert de quatre-vingts
Avant de transmettre les données aux centres de noms de domaine différents. Grâce à l'aide de GoDaddy
commande, le virus sécurise ses communications grâce et d'OpenDNS, deux sociétés américaines de gestion de
à des systèmes de cryptage intégrés. Enfin, il est doté noms de domaine, Kaspersky parvient à détourner le
d'une fonction "suicide" : quand il a rempli sa mission, il trafic de Flame vers ses propres serveurs,
s'autodétruit. Flame possède peut-être d'autres pour intercepter les flux de données entre les centres de
fonctions, qui restent à découvrir, car l'analyse ne fait commande et les victimes. Cela dit, peu après l'annonce
que commencer. Par ailleurs, les chercheurs estiment officielle de la découverte de Flame, le trafic cesse
qu'il a fonctionné pendant au moins deux ans avant totalement.
d'être repéré.
3

4. LES ETATS-UNIS ET ISRAËL SOUPÇONNÉS première réaction du gouvernement Obama a été
d'ouvrir une enquête criminelle pour retrouver les
Pour les sociétés de sécurité, l'investigation s'arrête là : auteurs de la fuite - un aveu implicite. De son côté,
pas question de chercherà démasquer les concepteurs le New York Times affirme qu'avant de publier ces
de Flame ni ses commanditaires. En théorie, ces informations il avait prévenu le gouvernement, qui lui
enquêtes sont du ressort de la justice des pays aurait alors demandé de ne pas publier certains détails
concernés, mais les obstacles techniques, juridiques et techniques, au nom de l'intérêt national.
diplomatiques sont quasi insurmontables. Kaspersky se
contente d'affirmer que seul un Etat dispose des moyens S'il est avéré que le gouvernement des Etats-Unis
logistiques et financiers nécessaires pour créer un outil fabrique des virus, les sociétés américaines de sécurité,
aussi sophistiqué. qui travaillent souvent pour l'Etat, se retrouvent dans la
situation paradoxale de devoir contrecarrer des
De son côté, le centre iranien Maher publie un opérations de leur propre gouvernement. Lors d'un
communiqué très technique :"Compte tenu du mode de entretien accordé au Monde en juin 2011, le PDG de
nommage des fichiers, des méthodes de propagation, du Symantec, Enrique Salem, s'était félicité d'avoir réussi
niveau de complexité, de la précision du ciblage et de la à neutraliser en 2010 deux centres de commande de
perfection de son fonctionnement, [Flame] a sans doute Stuxnet, situés en Malaisie et aux Pays-Bas, et
un lien étroit avec (...) Stuxnet et Duqu (...). Les récents d'avoiridentifié trois failles de sécurité utilisées par le
incidents de pertes massives de données en Iran sont virus pour se propager. Il affirmait que Stuxnet avait été
probablement le résultat de l'installation de modules de fabriqué par un "Etat", sans préciser lequel.
ce virus." Levente Buttyan, directeur duCrySys de
Budapest, est plus direct : "Il n'y a aucune preuve, mais En ce qui concerne Flame, les responsables de
quand on examine les méthodes de travail, et qu'on Symantec rappellent qu'ils défendent en priorité les
considère la région où se concentrent les cibles, il est intérêts de leurs clients - mais qu'en raison de l'embargo
clair que les soupçons se portent sur les Etats-Unis décrété par les Etats-Unis ils n'ont pas de clients en Iran.
et Israël." De toute façon, les Américains ne sont pas vraiment en
pointe dans la lutte contre ces virus : Stuxnet a été
La paternité de Flame reste, à ce jour, inconnue, mais la détecté pour la première fois par une équipe biélorusse,
thèse de l'implication des Etats-Unis a été renforcée par Duqu par les Hongrois, et Flame à la fois par les Russes,
la publication le 5 juin d'un livre intitulé Confront and les Hongrois et... par les Iraniens, toujours aux premières
Conceal : Obama's Secret Wars (Attaquer sans le dire : loges.
les guerres secrètes d'Obama) de David Sanger,
correspondant du New York Times à Washington. David Yves Eudes
Sanger, très introduit à la Maison Blanche, explique en
détail comment Stuxnet a été conçu, puis utilisé contre
l'usine nucléaire iranienne par les services secrets
américains, avec l'aide des Israéliens, au cours d'une Source
opération baptisée "Jeux olympiques". Il affirme aussi
qu'à la suite d'une erreur de manipulation, Stuxnet s'est
répandu sur Internet, infectant près de cent mille
machines dans le monde, mais que l'administration
Obama aurait décidé de poursuivre l'opération sans
se soucier des dommages collatéraux.
Or, officiellement, les Etats-Unis condamnent toutes les
activités dites de "cyberguerre" et mènent une
campagne diplomatique pour dissuader le reste du
monde, y compris leurs alliés, de fabriquer des virus
d'attaque. Après les révélations de David Sanger, la
4

5. Rue N°6, 101 Cité Jourdain, Hai Chouhada (Ex Les Castors) 31000 Oran. DZ
M. +213(0) 555 022 802 I T. +213(0) 41 469 459 I F. +213(0) 41 469 446
5