Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

Flame : ce que l’on sait de la dernière cyber-arme

auteur de l'article Jerome Saiz , dans la rubrique Menaces

Commentaires Commentaires fermés sur Flame : ce que l’on sait de la dernière cyber-arme

Flame se propage via USB et le réseau local. Via USB il exploite la même technique par « autorun.inf » que Stuxnet, ainsi qu’une autre technique baptisée pour l’occasion « Euphoria ».
En ce qui concerne le réseau local, il utilise la même vulnérabilité du service d’impression de Windows que Stuxnet (MS10-061).

Le vecteur initial d’infection n’est cependant pas connu, mais les experts de Kaspersky suspectent fortement le recours à la vulnérabilité MS10-033, exploitable à la lecture de contenu audio / vidéo piégés (y compris en streaming). La faille à été découverte en 2010 par Palo Alto Networks et est pourtant déjà corrigée.

Flame est plus répandu au Moyen-Orient. Les sept pays les plus touchés sont l’Iran, en premier lieu, suivi d’Israël et la Palestine, le Soudan, la Syrie, le Liban, l’Arabie Saoudite et l’Egypte.

Les questions qui demeurent :

Flame est-il un cousin de Stuxnet ou Duqu ? Il faudrait pour cela qu’il ait été conçu sur la même plate-forme logicielle que ces derniers, la fameuse plate-forme dite « Tilded » (ainsi nommée parce que ses auteurs ont l’habitude de faire précéder tous les noms de leurs fichiers par le symbole ~)

Or, ce n’est pas entièrement le cas ici : un certain nombres de fichiers seulement sont ainsi nommés. Toutefois le fait que ces codes malveillants utilisent les deux mêmes vulnérabilités (des zero days à l’époque de leur conception) pourrait laisser croire que leurs développeurs respectifs aient au moins pu avoir accès aux mêmes sources, et au mieux travaillé en parallèle.

Quand Flame a-t-il été conçu ? Les experts de Kaspersky affirment que Flame date du début de l’année 2010, entre les mois de février et mars. McAfee confirme d’ailleurs la date en se basant sur ses propres observations. Cela expliquerait alors l’usage de la vulnérabilité MS10-033 rendue publique en juin 2010. Si c’est le cas, il s’agissait donc, à l’époque, d’une vulnérabilité de type zero-day. Depuis, plusieurs modules auraient été mis à jour en 2011 et 2012.

Cependant l’éditeur Webroot affirme quant à lui avoir découvert des traces de Flame dès 2007. Il est donc impossible de trancher la question en l’état.

Flame est-il l’oeuvre d’un Etat ? Du fait du grand nombre d’infections au Moyen-Orient, et notamment en Iran, l’Etat d’Israel ou les Etats-Unis ont bien entendu été soupçonnés d’être à l’origine de Flame, comme au moment de la découverte de Stuxnet.

Sans confirmer ni démentir cette accusation, le Ministre Israélien des Affaires Etrangères a répondu à l’AFP que « l’emploi de tels virus est justifié, pour quiconque considère la menace iranienne comme une menace significative« . Aucune confirmation, donc. Mais selon la plupart des éditeurs d’antivirus ayant eu accès au source, la complexité et la taille du code de Flame ne peuvent en faire que l’oeuvre d’un Etat ou d’un groupe organisé et bien financé.


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Les commentaires sont fermés.

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.