IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Flame : un « nouveau » virus d'une complexité hors-norme

Le , par Gordon Fowler

20PARTAGES

3  0 
Mise à jour du 20/06/2012, par Hinault Romaric

Flame, le virus informatique d’une complexité hors norme qui a beaucoup fait parler de lui en début de ce mois, serait une œuvre des Etats-Unis en collaboration avec Israël, selon le Washington Post, citant comme source des responsables occidentaux proches du dossier.

Considéré comme la plus grosse arme de cyber-espionnage jamais conçue, Flame a été développé avec pour objectif de dérober des données sur le programme nucléaire iranien, afin de préparer une opération de cyber-sabotage.

Le malware en activité depuis 5 ou 8 ans, a été détecté au Moyen-Orient, en Europe, en Amérique du Nord et en Asie-Pacifique par la société de sécurité informatique russe Kaspersky Lab. L'Iran serait le premier pays visé par ces attaques.

Les chercheurs de Symantec ont découvert quelques jours après qu’un fichier d’autodestruction (browse32.ocx) de Flame avait été diffusé via des serveurs command-and-control par ses auteurs. Ce fichier devait désinstaller le malware sans laisser la moindre trace de celui-ci, afin d’empêcher que des enquêteurs remontent jusqu'à sa source.

Une source qui aurait été découverte par le Washington Post. Selon le quotidien, le malware a été conçu par la NSA, la CIA et l’armée israélienne, probablement pour préparer le chemin au virus Stuxnet dont la mission était d’attaquer les systèmes iraniens.

Flame et Stuxnet ne représentent, selon le Washington Post, que deux des éléments d’un assaut plus vaste en direction de l’Iran.

Source : Washington Post

Un nouveau virus d’une complexité hors-norme mis à jour
Flame serait un projet parallèle à Stuxnet dont les auteurs sont tout aussi mystérieux

Flame, Skywiper ou Flamer. Tels sont les trois noms que les différents cabinets d’experts en sécurité informatique ont donné au « nouveau » virus qu’ils ont récemment découvert. Un virus d’une taille (20 Mo) et d’une complexité hors norme.

Plusieurs de ces caractéristiques font fortement penser au désormais célèbre Stuxnet et laissent à penser que ses commanditaires sont identiques. C’est en tout cas ce que rapporte le Washington Post.

« Il est très probable que deux équipes aient travaillé sur le même programme mais avec deux approches différentes » confirme Roel Schouwenberg, chercheur chez Kaspersky, dans les colonnes du quotidien.

Flame (ou Skywipper) n’est en fait pas très « nouveau ».

Il serait actif depuis 5 à 8 ans, principalement au Moyen-Orient. Il a été repéré en Iran, en Arabie Saoudite, en Syrie, en Egypte, en Israël ou au Liban. Ses cibles seraient principalement des individus ainsi que des institutions étatiques et universitaires.

Aucune trace avérée en revanche en Europe ou en Amérique (toujours selon le cabinet Russe).

Ce malware très sophistiqué utiliserait cinq méthodes de chiffrement et trois méthodes de compression différentes. Parmi ses « savoir-faire » multiples, les experts ont retrouvé des fonctionnalités de « key logging », de capture d’écran, d’enregistrement de conversation, et d’activation à distance de microphone et de webcam.

Mais un point a particulièrement attiré l’attention des chercheurs : sa capacité à utiliser le Bluetooth pour envoyer et recevoir des informations et des instructions. Une première dans l’histoire des malwares, d’après Kaspersky.

Que les « donneurs d’ordres » de Flame soient les mêmes ou non que ceux de Stuxnet, ils ont en tout cas un point commun avéré : le mystère qui entoure leur identité.

D’après le Washington Post, vue la sophistication du code, des analystes suspecteraient Israel et les Etats-Unis. Mais sans aucune preuve.

Source : The Washington Post

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de berceker united
Expert éminent https://www.developpez.com
Le 20/06/2012 à 12:47
Pas rassurant, car il est pas dit que les États-Unis n'ont pas ce genre de programmes pour espionner les pays Européens dans un domaine tout autre.
Et si je comprend bien, est-ce que les Etats-Unis et Israël peuvent poursuivi pour une cyber-attaque. Parce que si c'est moi qui fait ça au Américain depuis la France, il me lâche le GIGN+RAID+ Départ au state en avion privé affrété spécialement pour moi+visite de Cuba Guantánamo = 268 ans d’emprisonnement+chaise électrique à la fin de ma peine.
10  0 
Avatar de MRick
Membre du Club https://www.developpez.com
Le 30/05/2012 à 13:23
Le Rapport de CrySyS pointé par Kirua83 est plus complet que l'article du Wishington Post.

L'article originale de Kaspersky aussi : http://www.securelist.com/en/blog/20...ns_and_Answers

Le Washington Post tire des conclusions hasardeuses en parlant de 7 ou 8 années. Kaspersky indique juste avoir trouvé des fichiers de 2004 ou 2005.

Mais CrySyS complète en indiquant que de nombreux fichiers sont antidatés, parfois jusqu'en 1992 ou 1994 !

Kaspersky pense que le virus n'est dans la nature que depuis Mars 2010.

Citation Envoyé par ArKam Voir le message

J'ai pas franchement eu le temps de lire tout le papier du CySIS à ce sujet, mais il me semble pas que celui-ci utilise de ODay ou autres exploits qui seraient en eux même intéressants, n'est-ce pas?
Il exploite à coup sûr des failles déjà corrigées, par MS10-033, MS10-046, et MS10-061. Ce dernier correctif était lié à une faille utilisée par Stuxnet.

Ils n'ont pas encore trouvé de 0-day, mais ils pensent qu'il y en a un puisqu'au moins 1 machine en Windows 7 entièrement patchée a été infectée.

La quantité de code est telle (70 000 lignes de C, 3000 lignes de LUA) qu'il leur faudra de nombreux mois pour tout analyser.

Citation Envoyé par ArKam Voir le message
Donc, qu'est ce qui est super méga trop bien dans ce virus?
Au final, c'est plus un programme parasite qu'un virus dans le sens ou on l'entend habituellement.
Tout dépend du "on".

Pour de nombreuses personnes n'importe quel code informatique malveillant est appelé un virus. Si tu penses à la catégorie de virus qui infecte d'autre exécutable, celui-ci n'en fait effectivement pas partie.

Par contre il fait partie des catégories suivantes :
Worm, Backdoor, Botnet, Keylogger, Information Stealer... Et il y en a peut-être d'autres...

Citation Envoyé par ArKam Voir le message
En gros, je me demande si on peux encore appeler ça un virus,
C'est un autre débat, le mot virus est entré dans le langage courant pour désigner l'ensemble des codes malveillants, que la plupart des gens ne savent pas distinguer. Quand on parle entre techniciens (je considère que c'est le cas ici), on pourrait effectivement être plus précis.
Sauf que vu le nombre de catégories à laquelle le bestiau appartient, c'est difficile. Pour moi le terme le plus précis serait Malware / Code Malveillant, mais c'est bien sûr subjectif.

Citation Envoyé par ArKam Voir le message
parce que bon, vue où il est localisé, et que l'ont ne le trouve pas, ou peu, en Europe et dans les pays dit du NORD plus généralement, ça sent quand même la grosse opération avec insertion physique de périphériques pour diffuser la bête.
CrySys indique des des machines sont infectées en Hongrie et en Autriche.

Il se propage aussi par LAN, et il se propage probablement depuis Mars 2010 (selon Kaspersky).

Il est aussi probable qu'ils soit propagé par sites web ou spear-phishing (harponnage).
6  0 
Avatar de berceker united
Expert éminent https://www.developpez.com
Le 20/06/2012 à 13:27
Citation Envoyé par ALT Voir le message
Oui, mais je ne suis pas sûr que lesdits chinois ne préparent quelque chose de leur côté. À moins que l'attaque soit déjà partie...
Quant aux Russes, ils ne sont assurément pas en reste : le FSB (anciennement : KGB, GRU, GPU...) n'est pas là pour décorer.
Et je n'oublie pas tous les autres services d'espionnage qui ont, quasiment tous, les moyens de bricoler dans leur coin pour enquiquiner les copains.
Et nous français avons le vin bouchonner pour emmerder les autres
7  1 
Avatar de mitkl
Membre éprouvé https://www.developpez.com
Le 29/05/2012 à 17:44
20 Mo ? J'ai envie de dire que plus c'est gros et plus ça passe.
4  0 
Avatar de ALT
Membre émérite https://www.developpez.com
Le 31/05/2012 à 10:06
Ma réaction était motivée par ton affirmation trop péremptoire.

Que les États-Unis disposent actuellement du plus gros budget militaire du Monde, c'est sans doute avéré.
Qu'Israël dépense une grande part de son budget pour son armée, c'est sans doute aussi exact. Néanmoins, les sommes en jeu sont plutôt faibles, vu le petit PIB du pays ; la Russie, la Chine & la Corée du Nord ont un budget militaire bien plus important en valeur (donc, pas en pourcentage).
Enfin, pour développer un virus (ou, surtout, pour en améliorer un autre), il n'y a pas besoin de disposer de milliards de dollars (ou d'euros).

Quant aux motivations, elles sont nombreuses : politiques, économiques, religieuses (en particulier les chiites & les sunnites qui se tapent dessus par "révolutions arabes" interposées), diplomatiques...

Donc, que les États-Unis & Israël fassent des coupables idéaux & faciles, c'est vraisemblable. Qu'ils soient réellement responsables de ce virus est plus douteux. Donc, il faut être très prudent avant d'accuser formellement qui que ce soit comme tu l'as fait.
Il y a un gouffre entre le soupçon & la condamnation (avec preuves, évidemment), gouffre que tu as franchi sans complexe. D'où réactions.
5  1 
Avatar de DotCertis
Membre actif https://www.developpez.com
Le 04/06/2012 à 10:38
l'article du NYT :
http://www.nytimes.com/2012/06/01/wo...ml?_r=2&hp

Voila.
4  0 
Avatar de bugsan
Membre confirmé https://www.developpez.com
Le 20/06/2012 à 12:51
Il faut bien avouer que cette dépêche déclasse au rang de l'anecdote toutes les informations sur les méchants-chinois-pirates-de-compte-email dont nous a relaté assidûment developpez.com ces dernières années ...
4  0 
Avatar de Neko
Membre chevronné https://www.developpez.com
Le 20/06/2012 à 13:14
Au final, ya que les USA qui se sont fait remarquer. ca veut peut-etre dire qu'ils ont les plus mauvais virus, pas qu'ils sont les seuls.
5  1 
Avatar de Ryu2000
Membre extrêmement actif https://www.developpez.com
Le 25/06/2012 à 10:48
Être naïf c'est croire tout ce que disent les médias, être naïf c'est faire confiance à TF1 et BFM TV.

Qu'est-ce qui n'est pas crédible exactement ?

Que Flame n'a pas été créé par Israël et les USA pour espionner l'Iran ?
Ça a été avoué par Israël.

Que la Russie, la Chine, la Syrie, l'Iran ne sont pas allié ?
Fais des recherches tu trouveras des infos.

Qu'on entend parler d'Occupy Wall Street dans les médias ?
Moi j'ai jamais vu des infos sur Occupy Wall Street à la TV, et pourtant c'est un grand mouvement.

Que le peuple du Bahreïn n'est pas en train de se faire massacrer ?

Moi je pense que si quelqu'un fais des recherches sérieusement il n'arrivera pas à me contredire.

Bon oubliez ce que j'ai dis sur la Côte d'Ivoire, la Libye et la Syrie, c'est effectivement trop difficile à croire.
Mais j’espère qu'un jour on apprendra la vérité.

Mais bon la vérité n’intéresse pas forcement les gens, maintenant on sait que la campagne de sarkozy à été payé en partie par la Libye et qu'ensuite Sarkozy à fait la guerre contre ce pays, mais ça tout le monde s'en fout.
4  0 
Avatar de Kirua83
Futur Membre du Club https://www.developpez.com
Le 29/05/2012 à 17:08
Pour ceux qui veulent un peu plus de détails sur Flame (SkyWIper), la Budapest University of Technology and Economics's Laboratory of Cryptography and System Security (CrySyS) a étudié ce malware depuis début mai et un premier rapport a été publié hier : http://www.crysys.hu/skywiper/skywiper.pdf

Chris
3  0