CLOUD COMPUTING AND BROADBAND ACCESS                THE INTERNET SIMPLY AND WITHOUT CONSTRAINTS
                  Flame,            	  	                                     	                       Un virus espion dEtat...
Wiper, cible originelle de lenquête, est complètementdélaissé - dautant quil semble désormais inactif.Une fois Flame ident...
LES ETATS-UNIS ET ISRAËL SOUPÇONNÉS                            première réaction du gouvernement Obama a été              ...
Rue N°6, 101 Cité Jourdain, Hai Chouhada (Ex Les Castors) 31000 Oran. DZ       M. +213(0) 555 022 802 I T. +213(0) 41 469 ...
Prochain SlideShare
Chargement dans…5
×

Flame, un virus espion d'etat

437 vues

Publié le

Flame, un virus espion d'état
Source : Lemonde.fr

0 commentaire
1 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
437
Sur SlideShare
0
Issues des intégrations
0
Intégrations
13
Actions
Partages
0
Téléchargements
6
Commentaires
0
J’aime
1
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Flame, un virus espion d'etat

  1. 1. CLOUD COMPUTING AND BROADBAND ACCESS THE INTERNET SIMPLY AND WITHOUT CONSTRAINTS
  2. 2.   Flame,       Un virus espion dEtat          Au début du mois de mai, lUnion internationale des Cette fois, pour neutraliser Wiper, lUIT fait appeltélécommunications (UIT), agence des Nations unies aux services de la société de sécurité russe Kaspersky.basée à Genève, reçoit un appel à laide de plusieurs Très vite, les Russes repèrent sur les ordinateurs infectésEtats du Moyen-Orient, car diverses installations un nom de fichier déjà détecté dans Duqu. Intrigués parpétrolières de la région sont victimes dune attaque la similitude, ils saperçoivent que, cette fois, le fichierdévastatrice : des masses de données stockées sur leurs suspect a été intégré dans un virus encore non identifié.ordinateurs disparaissent soudainement. Fin avril, Ils le baptisent "Flame", car ce mot mystérieux revientpour tenter de réparer les dégâts, lIran avait fréquemment dans son code informatique.dû couper temporairement les réseaux informatiques desonindustrie pétrolière. Le coupable semble être un UNE GROSSE "BOÎTE À OUTILS"nouveau virus, opportunément baptisé "Wiper"("effaceur"). Parallèlement, dautres équipes traquent le virus   effaceur. Début mai, le laboratoire hongrois CrySys, de luniversité de technologie de Budapest, est contacté par des commanditaires souhaitant rester anonymes, qui lui proposent denquêter sur Wiper. CrySys est très réputé, car cest lui qui a détecté Duqu en 2011.    Aussitôt, les experts du monde entier croient deviner quelaffaire est un nouvel épisode de la mystérieusecyberguerre menée contre lIran par des piratesinconnus. Déjà, en 2010, un virus de conception inédite,baptisé "Stuxnet", sétait introduit dans les ordinateurscontrôlant les centrifugeuses de lusine denrichissementduranium iranienne de Natanz, et avait réussi àles saboter. Le virus provoqua même des explosions, unepremière mondiale dans lhistoire Très vite, les Hongrois découvrent le même virus que lesdupiratage informatique. Puis, à lautomne 2011, les Russes, mais saperçoivent quil sagit dun monstreIraniens avaient trouvé dans leurs réseaux informatiques dune puissance inédite. Face à lampleur de la tâche, ilsun virus espion, baptisé "Duqu", conçu pour voler des transmettent le dossier à la société de sécuritéinformations sensibles. Ces agressions nétaient pas américaine Symantec, qui se met sur laffaire avec derevendiquées, mais, selon les experts, seul un Etat gros moyens logistiques.pouvait mobiliser les moyens humains et financiersnécessaires pour créer des programmes aussi Le 28 mai, les Russes, les Hongrois, les Américains, etcomplexes et innovants. Les soupçons sétaient portés même les Iraniens, qui ont participé à la traque, publientsur les Etats-Unis, Israël ou les deux. des communiqués annonçant la découverte du mégavirus, que tout monde décide dappeler Flame.   2
  3. 3. Wiper, cible originelle de lenquête, est complètementdélaissé - dautant quil semble désormais inactif.Une fois Flame identifié, les experts de plusieurs paysmettent au point en urgence des programmes pourle bloquer. Ils se lancent aussi dans une œuvre delongue haleine - lanalyse du code qui le compose. Ilsvont de surprise en surprise. Dans sa version complète,le code de Flame pèse 20 mégaoctets - vingt fois plusque Stuxnet.Il sagit dun système despionnage, qui travaille ensecret, sans perturber le fonctionnement de lordinateur.Les chercheurs le comparent à une grosse "boîte àoutils", contenant une large panoplie de logiciels ayantchacun leur spécialité. Il est capable didentifier etde recopier nimporte quel type de fichier, de mémoriserchaque frappe sur le clavier, de faire des capturesdécran, ou encore dactiver le micro de lordinateur En ce qui concerne les victimes, les enquêteurs ontpour enregistrer les bruits et les conversations alentour. Il identifié dans un premier temps plus de 400 ordinateurspeut même déclencher lémetteur-récepteur sans fil infectés : environ 200 en Iran, une centaine en Palestine,Bluetooth pour communiqueravec des ordinateurs une trentaine au Soudan et en Syrie, quelques-unsportables ou des smartphones situés à proximité. au Liban, en Arabie saoudite, en Egypte... Au total, le nombre de victimes est estimé à un millier.SA MISSION REMPLIE, ILSAUTODÉTRUIT A ce stade, les sociétés de sécurité refusent de dire quels secteurs dactivité ont été visés dansComme la plupart des logiciels espions, il est piloté à chaque pays. Elles notent seulement que Flamedistance par plusieurs "centres de commande et de recherchait particulièrement les fichiers Autocad (dessinscontrôle", installés sur des serveurs situés nimporte où industriels, plans darchitecte, schémas de machines,dans le monde. Flame vise les machines équipées du etc.). Elles affirment aussi que le virus a été trouvé sursystème dexploitation Windows de Microsoft : grâce à des ordinateurs installés chez des particuliers - soitdes certificats de sécurité fabriqués à laide parce que leur vie privéeintéressait les espions, soitdalgorithmes très complexes, il se fait passer pour une parce quils travaillaient sur des dossiers sensiblesmise à jour de Windows. Il ne se propage pas depuis leur domicile.automatiquement sur le réseau, mais seulement au couppar coup, sur décision dun centre de commande - le but A lautre bout de la chaîne, les enquêteurs ont identifiéétant déviter une prolifération anarchique qui accroîtrait une quinzaine de centres de commande clandestins, quiles risques de détection. déménageaient régulièrement à travers lEurope et lAsie, et fonctionnaient sous couvert de quatre-vingtsAvant de transmettre les données aux centres de noms de domaine différents. Grâce à laide de GoDaddycommande, le virus sécurise ses communications grâce et dOpenDNS, deux sociétés américaines de gestion deà des systèmes de cryptage intégrés. Enfin, il est doté noms de domaine, Kaspersky parvient à détourner ledune fonction "suicide" : quand il a rempli sa mission, il trafic de Flame vers ses propres serveurs,sautodétruit. Flame possède peut-être dautres pour intercepter les flux de données entre les centres defonctions, qui restent à découvrir, car lanalyse ne fait commande et les victimes. Cela dit, peu après lannonceque commencer. Par ailleurs, les chercheurs estiment officielle de la découverte de Flame, le trafic cessequil a fonctionné pendant au moins deux ans avant totalement.dêtre repéré.   3
  4. 4. LES ETATS-UNIS ET ISRAËL SOUPÇONNÉS première réaction du gouvernement Obama a été douvrir une enquête criminelle pour retrouver lesPour les sociétés de sécurité, linvestigation sarrête là : auteurs de la fuite - un aveu implicite. De son côté,pas question de chercherà démasquer les concepteurs le New York Times affirme quavant de publier cesde Flame ni ses commanditaires. En théorie, ces informations il avait prévenu le gouvernement, qui luienquêtes sont du ressort de la justice des pays aurait alors demandé de ne pas publier certains détailsconcernés, mais les obstacles techniques, juridiques et techniques, au nom de lintérêt national.diplomatiques sont quasi insurmontables. Kaspersky secontente daffirmer que seul un Etat dispose des moyens Sil est avéré que le gouvernement des Etats-Unislogistiques et financiers nécessaires pour créer un outil fabrique des virus, les sociétés américaines de sécurité,aussi sophistiqué. qui travaillent souvent pour lEtat, se retrouvent dans la situation paradoxale de devoir contrecarrer desDe son côté, le centre iranien Maher publie un opérations de leur propre gouvernement. Lors duncommuniqué très technique :"Compte tenu du mode de entretien accordé au Monde en juin 2011, le PDG denommage des fichiers, des méthodes de propagation, du Symantec, Enrique Salem, sétait félicité davoir réussiniveau de complexité, de la précision du ciblage et de la à neutraliser en 2010 deux centres de commande deperfection de son fonctionnement, [Flame] a sans doute Stuxnet, situés en Malaisie et aux Pays-Bas, etun lien étroit avec (...) Stuxnet et Duqu (...). Les récents davoiridentifié trois failles de sécurité utilisées par leincidents de pertes massives de données en Iran sont virus pour se propager. Il affirmait que Stuxnet avait étéprobablement le résultat de linstallation de modules de fabriqué par un "Etat", sans préciser lequel.ce virus." Levente Buttyan, directeur duCrySys deBudapest, est plus direct : "Il ny a aucune preuve, mais En ce qui concerne Flame, les responsables dequand on examine les méthodes de travail, et quon Symantec rappellent quils défendent en priorité lesconsidère la région où se concentrent les cibles, il est intérêts de leurs clients - mais quen raison de lembargoclair que les soupçons se portent sur les Etats-Unis décrété par les Etats-Unis ils nont pas de clients en Iran.et Israël." De toute façon, les Américains ne sont pas vraiment en pointe dans la lutte contre ces virus : Stuxnet a étéLa paternité de Flame reste, à ce jour, inconnue, mais la détecté pour la première fois par une équipe biélorusse,thèse de limplication des Etats-Unis a été renforcée par Duqu par les Hongrois, et Flame à la fois par les Russes,la publication le 5 juin dun livre intitulé Confront and les Hongrois et... par les Iraniens, toujours aux premièresConceal : Obamas Secret Wars (Attaquer sans le dire : loges.les guerres secrètes dObama) de David Sanger,correspondant du New York Times à Washington. David Yves EudesSanger, très introduit à la Maison Blanche, explique endétail comment Stuxnet a été conçu, puis utilisé contrelusine nucléaire iranienne par les services secretsaméricains, avec laide des Israéliens, au cours dune Sourceopération baptisée "Jeux olympiques". Il affirme aussiquà la suite dune erreur de manipulation, Stuxnet sestrépandu sur Internet, infectant près de cent millemachines dans le monde, mais que ladministrationObama aurait décidé de poursuivre lopération sansse soucier des dommages collatéraux.Or, officiellement, les Etats-Unis condamnent toutes lesactivités dites de "cyberguerre" et mènent unecampagne diplomatique pour dissuader le reste dumonde, y compris leurs alliés, de fabriquer des virusdattaque. Après les révélations de David Sanger, la   4
  5. 5. Rue N°6, 101 Cité Jourdain, Hai Chouhada (Ex Les Castors) 31000 Oran. DZ M. +213(0) 555 022 802 I T. +213(0) 41 469 459 I F. +213(0) 41 469 446   5

×