3. FLAME : un vaste dispositif d'espionnage informatique ?
Le 28 mai 2012, l'éditeur russe de logiciels anti-virus Kaspersky Lab a annoncé dans un communiqué avoir identifié un nouveau virus informatique, vingt fois plus puissant que STUXNET, baptisé FLAME 6 ( * ) .
L'affaire a débuté lorsqu'au début du mois de mai, l'Union internationale des télécommunications (UIT), institution spécialisée des Nations Unies, a été sollicitée par plusieurs pays du Moyen-Orient dont les installations pétrolières avaient subi des attaques informatiques massives ayant abouti au vol et à l'effacement soudain d'un nombre élevé de données stockées dans leurs systèmes d'information. Ainsi, en avril dernier, à la suite de l'infection par un logiciel malveillant particulièrement sophistiqué, les autorités iraniennes avaient été contraintes d'interrompre la connexion à l'Internet du réseau informatique du terminal de l'île de Kharg, par lequel transitent environ 90 % des exportations du pétrole iranien.
Mandatée par l'UIT, la société russe Kapsersky Lab, ainsi que le laboratoire hongrois CrySys de l'université de technologie de Budapest, découvrent alors un virus informatique d'une puissance jusqu'alors inédite.
A la différence de STUXNET, qui visait à entraver et à détruire le fonctionnement des systèmes de type SCADA, FLAME serait un type très complexe de logiciel malveillant visant à infiltrer un ordinateur à l'insu de son utilisateur pour en prendre le contrôle, collecter des informations ou effacer des fichiers.
FLAME serait ainsi un logiciel malveillant conçu à des fins d'espionnage, vingt fois plus volumineux que STUXNET 7 ( * ) et cent fois plus qu'un logiciel malveillant « classique », dont « la complexité et la fonctionnalité dépassent toutes les autres cybermenaces connues à ce jour » .
Selon les spécialistes, il serait comparable à une « boîte à outils » , comprenant une large panoplie de logiciels ayant chacun leur spécialité, qui travailleraient en secret, sans perturber le fonctionnement de l'ordinateur. Il serait en mesure d'identifier et de recopier n'importe quel type de fichier, de lire les courriels, de mémoriser chacune des frappes sur le clavier, de réaliser des captures d'écran, d'enregistrer les conversations et de filmer l'environnement en activant lui-même le micro de l'ordinateur ou la webcam. Il serait même capable de déclencher l'émetteur-récepteur sans fil pour communiquer avec des ordinateurs portables ou des ordiphones situés à proximité.
FLAME viserait en premier lieu les ordinateurs équipés du système d'exploitation Windows de Microsoft. Grâce à des certificats de sécurité fabriqués à l'aide de vulnérabilités dans des algorithmes cryptographiques, il se ferait passer pour une mise à jour de Windows. Contrairement à STUXNET, il ne se propagerait pas automatiquement sur le réseau, mais seulement au coup par coup, sur décision d'un « serveur de commande et de contrôle », afin d'éviter une prolifération anarchique qui augmenterait le risque de détection. Une quinzaine de ces serveurs de commande et de contrôle auraient été identifiés, notamment en Europe et en Asie. Certains spécialistes estiment que FLAME serait actif depuis au moins deux ans mais d'autres évoquent une période plus longue, de cinq ans. Avant de transmettre les données collectées aux serveurs de commande et de contrôle, le virus FLAME sécuriserait ses communications, grâce à un chiffrement intégré. Une autre particularité du virus FLAME tiendrait au fait qu'il serait doté d'une fonction « suicide » : dès qu'il aurait rempli sa mission, il s'autodétruirait.
Le 10 juin dernier, la société américaine de sécurité informatique Symantec a assuré que le virus FLAME avait reçu l'ordre de « disparaître sans laisser de trace ».
D'après la société Kaspersky, plus de 1000 ordinateurs auraient été recensés comme infectés, début juin, principalement dans les pays du Proche et du Moyen Orient, notamment en Iran, dans les territoires palestiniens, en Syrie, au Liban, en Arabie Saoudite, aux Emirats arabes unis et en Égypte, mais aussi au Soudan ou dans d'autres pays. Des traces de FLAME ont été découvertes sur des ordinateurs situés dans des administrations, des opérateurs ou des entreprises, des universités, mais aussi sur des ordinateurs personnels de cadres travaillant dans des secteurs sensibles. Même si ses objectifs demeurent inconnus à ce jour, il semblerait que FLAME rechercherait en particulier les fichiers de type AutoCAD, qui sont utilisés pour les dessins industriels, les plans d'architecte, etc.
Compte tenu de la complexité de FLAME, et même s'il est très difficile d'identifier son auteur, les spécialistes considèrent qu'un tel virus n'a pu être conçu que par un Etat et de forts soupçons pèsent sur les Etats-Unis.
Pour Eugène Kaspersky, fondateur de la société éponyme, « FLAME représente une nouvelle étape dans la cyberguerre ». D'après lui, « il faut bien comprendre que de telles armes peuvent être facilement utilisées contre n'importe quel pays. Et contrairement à la guerre conventionnelle, les pays les plus développés sont ici les plus vulnérables ».
* 6 Voir notamment l'article d'Yves Eudes « FLAME virus espion d'Etat » paru dans le journal Le Monde du 20 juin 2012
* 7 Le volume du virus FLAME serait de 20 méga-octets, contre 1 méga-octet pour STUXNET