Il y a deux jours, l’éditeur Kaspersky annonçait avoir découvert un nouveau parasite informatique qu’il a immédiatement qualifié de très sophistiqué, rappelant Stuxnet.

Baptisé Flame, il s’agirait selon l’éditeur d’une arme cyber développée par un Etat ou un groupe organisé très bien financé. Son objectif serait la collecte d’informations sur les ordinateurs qu’il infecte.

Ce que l’on sait aujourd’hui :

Kaspersky a découvert ce code malveillant par hasard. L’éditeur est intervenu à la demande de l’Union internationale des télécommunications, une institution des Nations Unies, afin d’enquêter sur un autre parasite (baptisé provisoirement Wiper). Comme son nom l’indique, Wiper (« l’effaceur« ) est destructif : le contenu des machines attaquées est irrécupérable, y compris le code malveillant à l’origine de l’attaque. Mais en recherchant des traces de Wiper sur des ordinateurs encore épargnés, les experts délégués par Kaspersky ont découvert un autre hôte clandestin : Flame.

Flame est sophistiqué. Le parasite est composé de vingt modules applicatifs différents, avec la capacité d’être étendu par de nouveaux modules à l’avenir. Il est vingt fois plus « gros » (en terme de taille de code) que Stuxnet, et pèse 20 méga-octets une fois déployé. Il embarque notamment un module de manipulation de base de données (SQLite) et une machine virtuelle Lua (un langage de scripting moderne). Les routines d’attaque et d’infection sont écrites en C++ tandis que l’assemblage et la logique de haut niveau est pris en charge par Lua. Enfin, sa structure même n’est pas celle d’un exécutable Windows traditionnel (plusieurs DLL sont chargées au moment du démarrage du système et communiquent entre elles).
Flame communique quant à lui avec son créateur via au moins une douzaine de serveurs de Command & Control répartis à travers le monde, et peut-être jusqu’à 80.

Flame est un hybride. Il présente des caractéristiques propres aux vers (capacité à se répliquer via le réseau ou des disques externes sans intervention de l’utilisateur), aux backdoors (capacité à offrir un accès détourné et permanent à la machine infectée) et aux Chevaux de Troie (capacité à exécuter des actions détournées). Il ne se réplique pas à l’image d’un virus, cependant : l’infection initiale reste contrôlée par son créateur.

Flame est conçu pour l’espionnage. Le code est notamment en mesure d’intercepter le trafic réseau, de conserver la trace des frappes clavier, d’enregistrer les conversations audio et de prendre des captures d’écran à intervalle régulier (notamment lorsqu’une application de messagerie instantanée est active). Il est également en mesure de collecter tout type de documents (dont spécifiquement des plans industriels CAD) et d’accéder aux courriers électroniques. Plus original : le parasite est capable de découvrir les terminaux Bluetooth situés autour de la machine infectée.
A noter que chaque installation de Flame sera différente et embarquera un nombre variable de modules en fonction des types d’information recherchés.

Les experts de l’éditeur BitDefender ont également découvert sein de son code une série de réseaux « d’intérêt » : *.overture.* , *.gmail.*, *.hotmail.* , *.bbc.co.* , *.bbc.co.*. Celle-ci contient également trois sites Iraniens (*.baztab.* , *.maktoob.* , *.gawab.*).

Si un tel comportement place déjà Flame solidement dans le camps des espions, rien ne l’empêche d’en exhiber de nouveaux à l’avenir : non seulement toutes ses fonctionnalités n’ont pas encore été étudiées, mais il peut en outre en changer à loisir via de nouveaux modules.

Enfin, Flame dispose d’un module baptisé « SUICIDE » destiné à effacer 70 de ses propres fichiers afin de disparaître définitivement du système s’il en reçoit l’ordre.