Discussion :

[Gordon Fowler]

Le virus Flame développé par les Etats-Unis et Israël
selon le Washington Post, pour dérober des données sur le programme nucléaire iranien

Mise à jour du 20/06/2012, par Hinault Romaric

Flame, le virus informatique d’une complexité hors norme qui a beaucoup fait parler de lui en début de ce mois, serait une œuvre des Etats-Unis en collaboration avec Israël, selon le Washington Post, citant comme source des responsables occidentaux proches du dossier.

Considéré comme la plus grosse arme de cyber-espionnage jamais conçue, Flame a été développé avec pour objectif de dérober des données sur le programme nucléaire iranien, afin de préparer une opération de cyber-sabotage.

Le malware en activité depuis 5 ou 8 ans, a été détecté au Moyen-Orient, en Europe, en Amérique du Nord et en Asie-Pacifique par la société de sécurité informatique russe Kaspersky Lab. L'Iran serait le premier pays visé par ces attaques.

Les chercheurs de Symantec ont découvert quelques jours après qu’un fichier d’autodestruction (browse32.ocx) de Flame avait été diffusé via des serveurs command-and-control par ses auteurs. Ce fichier devait désinstaller le malware sans laisser la moindre trace de celui-ci, afin d’empêcher que des enquêteurs remontent jusqu'à sa source.

Une source qui aurait été découverte par le Washington Post. Selon le quotidien, le malware a été conçu par la NSA, la CIA et l’armée israélienne, probablement pour préparer le chemin au virus Stuxnet dont la mission était d’attaquer les systèmes iraniens.

Flame et Stuxnet ne représentent, selon le Washington Post, que deux des éléments d’un assaut plus vaste en direction de l’Iran.


Source : Washington Post



Un nouveau virus d’une complexité hors-norme mis à jour
Flame serait un projet parallèle à Stuxnet dont les auteurs sont tout aussi mystérieux


Flame, Skywiper ou Flamer. Tels sont les trois noms que les différents cabinets d’experts en sécurité informatique ont donné au « nouveau » virus qu’ils ont récemment découvert. Un virus d’une taille (20 Mo) et d’une complexité hors norme.

Plusieurs de ces caractéristiques font fortement penser au désormais célèbre Stuxnet et laissent à penser que ses commanditaires sont identiques. C’est en tout cas ce que rapporte le Washington Post.

« Il est très probable que deux équipes aient travaillé sur le même programme mais avec deux approches différentes » confirme Roel Schouwenberg, chercheur chez Kaspersky, dans les colonnes du quotidien.

Flame (ou Skywipper) n’est en fait pas très « nouveau ».

Il serait actif depuis 5 à 8 ans, principalement au Moyen-Orient. Il a été repéré en Iran, en Arabie Saoudite, en Syrie, en Egypte, en Israël ou au Liban. Ses cibles seraient principalement des individus ainsi que des institutions étatiques et universitaires.

Aucune trace avérée en revanche en Europe ou en Amérique (toujours selon le cabinet Russe).

Ce malware très sophistiqué utiliserait cinq méthodes de chiffrement et trois méthodes de compression différentes. Parmi ses « savoir-faire » multiples, les experts ont retrouvé des fonctionnalités de « key logging », de capture d’écran, d’enregistrement de conversation, et d’activation à distance de microphone et de webcam.

Mais un point a particulièrement attiré l’attention des chercheurs : sa capacité à utiliser le Bluetooth pour envoyer et recevoir des informations et des instructions. Une première dans l’histoire des malwares, d’après Kaspersky.

Que les « donneurs d’ordres » de Flame soient les mêmes ou non que ceux de Stuxnet, ils ont en tout cas un point commun avéré : le mystère qui entoure leur identité.

D’après le Washington Post, vue la sophistication du code, des analystes suspecteraient Israel et les Etats-Unis. Mais sans aucune preuve.


Source : The Washington Post

[Kirua83]

Pour ceux qui veulent un peu plus de détails sur Flame (SkyWIper), la Budapest University of Technology and Economics's Laboratory of Cryptography and System Security (CrySyS) a étudié ce malware depuis début mai et un premier rapport a été publié hier : http://www.crysys.hu/skywiper/skywiper.pdf

Chris

[mitkl]

20 Mo ? J'ai envie de dire que plus c'est gros et plus ça passe.

[mangobango]

Erreur fréquente

http://fr.wikipedia.org/wiki/Mise_au_jour
http://fr.wikipedia.org/wiki/Mise_%C3%A0_jour

[ArKam]

J'ai tout de même deux trois questions au sujet de ce virus.
J'ai pas franchement eu le temps de lire tout le papier du CySIS à ce sujet, mais il me semble pas que celui-ci utilise de ODay ou autres exploits qui seraient en eux même intéressants, n'est-ce pas?

Donc, qu'est ce qui est super méga trop bien dans ce virus?
Au final, c'est plus un programme parasite qu'un virus dans le sens ou on l'entend habituellement.

En gros, je me demande si on peux encore appeler ça un virus, parce que bon, vue où il est localisé, et que l'ont ne le trouve pas, ou peu, en Europe et dans les pays dit du NORD plus généralement, ça sent quand même la grosse opération avec insertion physique de périphériques pour diffuser la bête.

[ALT]

Erreur fréquente

http://fr.wikipedia.org/wiki/Mise_au_jour
http://fr.wikipedia.org/wiki/Mise_%C3%A0_jour

Euh...
Y a un truc ou ta réponse n'a rien à voir avec le schmilblick ?
Rien compris, moi.

[GeoTrouvePas]

Euh...
Y a un truc ou ta réponse n'a rien à voir avec le schmilblick ?
Rien compris, moi.

Je crois que son but était de mettre en évidence la différence entre les termes de "mise au jour" et de "mise à jour" (cf titre de l'article).

Si l'on en croit Wikipédia, lorsqu'on parle d'une découverte (ce qui est le cas pour ce nouveau virus), il faudrait utiliser le terme de "mise au jour". Or l'auteur de cet article parle de mise à jour.........

[MRick]

Le Rapport de CrySyS pointé par Kirua83 est plus complet que l'article du Wishington Post.

L'article originale de Kaspersky aussi : http://www.securelist.com/en/blog/20...ns_and_Answers

Le Washington Post tire des conclusions hasardeuses en parlant de 7 ou 8 années. Kaspersky indique juste avoir trouvé des fichiers de 2004 ou 2005.

Mais CrySyS complète en indiquant que de nombreux fichiers sont antidatés, parfois jusqu'en 1992 ou 1994 !

Kaspersky pense que le virus n'est dans la nature que depuis Mars 2010.

J'ai pas franchement eu le temps de lire tout le papier du CySIS à ce sujet, mais il me semble pas que celui-ci utilise de ODay ou autres exploits qui seraient en eux même intéressants, n'est-ce pas?

Il exploite à coup sûr des failles déjà corrigées, par MS10-033, MS10-046, et MS10-061. Ce dernier correctif était lié à une faille utilisée par Stuxnet.

Ils n'ont pas encore trouvé de 0-day, mais ils pensent qu'il y en a un puisqu'au moins 1 machine en Windows 7 entièrement patchée a été infectée.

La quantité de code est telle (70 000 lignes de C, 3000 lignes de LUA) qu'il leur faudra de nombreux mois pour tout analyser.

Donc, qu'est ce qui est super méga trop bien dans ce virus?
Au final, c'est plus un programme parasite qu'un virus dans le sens ou on l'entend habituellement.

Tout dépend du "on".

Pour de nombreuses personnes n'importe quel code informatique malveillant est appelé un virus. Si tu penses à la catégorie de virus qui infecte d'autre exécutable, celui-ci n'en fait effectivement pas partie.

Par contre il fait partie des catégories suivantes :
Worm, Backdoor, Botnet, Keylogger, Information Stealer... Et il y en a peut-être d'autres...

En gros, je me demande si on peux encore appeler ça un virus,

C'est un autre débat, le mot virus est entré dans le langage courant pour désigner l'ensemble des codes malveillants, que la plupart des gens ne savent pas distinguer. Quand on parle entre techniciens (je considère que c'est le cas ici), on pourrait effectivement être plus précis.
Sauf que vu le nombre de catégories à laquelle le bestiau appartient, c'est difficile. Pour moi le terme le plus précis serait Malware / Code Malveillant, mais c'est bien sûr subjectif.

parce que bon, vue où il est localisé, et que l'ont ne le trouve pas, ou peu, en Europe et dans les pays dit du NORD plus généralement, ça sent quand même la grosse opération avec insertion physique de périphériques pour diffuser la bête.

CrySys indique des des machines sont infectées en Hongrie et en Autriche.

Il se propage aussi par LAN, et il se propage probablement depuis Mars 2010 (selon Kaspersky).

Il est aussi probable qu'ils soit propagé par sites web ou spear-phishing (harponnage).

[nazoreen]

Petite question pour les connaisseurs :

A priori c'est un code malveillant inventé par des services d'un état.

A l'heure d'aujourd'hui sur les connaissances en IA, est-il possible que les développeurs aient pût être aidé par une IA pour développer Flame ou même Stuxnet ?

Ou c'est seulement des développeurs qui se sont posés les bonnes questions et qui ont ajouté des fonctions par rapport à ses questions ?

[rt15]

A l'heure d'aujourd'hui sur les connaissances en IA, est-il possible que les développeurs aient pût être aidé par une IA pour développer Flame ou même Stuxnet ?

Ou c'est seulement des développeurs qui se sont posés les bonnes questions et qui ont ajouté des fonctions par rapport à ses questions ?

Si on met de côté la recherche de faille, il est infiniment plus difficile de :
"développer une IA capable d'aider concrètement à développer ce type de logiciel"
que de :
"développer ce type de logiciel".

Flame est une accumulation de fonctionnalités (Espionnage sous toutes ses formes, backdoor/trojan, propagation basique ou non, téléchargement de modules additionnels, compression et transmission des info au serveur(s)...)...

Certaines fonctionnalités sont relativement simples, d'autres nettement plus complexes. Mais il y a peu d’interactions entre elle. Ce n'est pas une IA qui aiderait beaucoup. Ce qu'il faut c'est des développeurs qui connaissent bien le sujet en question et pas mal de temps.

Donc ça sent l'équipe assez monstrueuse genre :
1 dev pour le keylogger.
1 dev pour le serveur.
3 dev pour les communications client serveur (Dont compressions et utilisation de ssl).
2 dev sur la capture audio.
1 dev pour le bluetooth.
3 dev pour la recherche et l'utilisation des failles.
5 testeurs.
...

Tout ce petit monde travaillant plusieurs mois à pleins temps. Il y a beaucoup de mois hommes et d'expertise dans Flame et Stuxnet. Bref, le commanditaire a certainement des ressources quasi illimitées.
Mais une IA pour aider (A quoi ?), non je ne vois pas l'intérêt... La complexité est dans le nombre de fonctionnalité et leurs aspect technique. Il n'y a rien de magique.

[Ryu2000]

Le commanditaire c'est les États-Unis + Israël.
Niveau budget militaire ils sont large.

[ALT]

Le commanditaire c'est les États-Unis + Israël.
Niveau budget militaire ils sont large.

Il me semble que tu vas un peu vite en accusation : les auteurs ont écrit "suspecteraient". Ce qui ne signifie pas "accusent".
D'autres États ont des ressources financières & techniques : Russie (KGB FSB), Chine... sans parler des dictatures plus brutales (intérieurement) que ces deux-là (Corée du Nord, par exemple).

Bref, avant de désigner des coupables, il faut savoir.

[Ryu2000]

Ça semble juste logique que ce soit Israël.
Stuxnet c'était déjà un ver développé par Israël pour espionner les programmes de centrales nucléaires de l'Iran...

Ok vous avez raison pour l'instant on ne peut pas encore affirmé que ce soit Israël.
Mais tout semble indiquer que ça vient de là-bas.
Qui d'autre a quelque chose a y gagner ?

Aujourd'hui la Russie, la Chine et l'Iran sont dans la même équipe.

Je ne comprend vraiment pas pourquoi j'ai eu 2 pousses négatifs.
Dans l'article il est stipulé qu'il est le plus probable que ça vienne des États-Unis et d'Israël.
Et c'est probablement les deux pays qui ont le plus gros budget, pour la guerre et l'espionnage.

C'est ce que me disait mon prof de sécurité, c'est les pays qui sont le plus en guerre qui développe le plus de sécurité, c'est pour ça que beaucoup d'algorithme de chiffrement viennent d'Israël ou des USA.

Je vois pas ce que j'ai pu dire de mal, je ne comprend vraiment pas votre réaction.

Enfin bon le ver vise les systèmes Windows, l'Iran devrait passer sous Linux ^^

[ALT]

Ma réaction était motivée par ton affirmation trop péremptoire.

Que les États-Unis disposent actuellement du plus gros budget militaire du Monde, c'est sans doute avéré.
Qu'Israël dépense une grande part de son budget pour son armée, c'est sans doute aussi exact. Néanmoins, les sommes en jeu sont plutôt faibles, vu le petit PIB du pays ; la Russie, la Chine & la Corée du Nord ont un budget militaire bien plus important en valeur (donc, pas en pourcentage).
Enfin, pour développer un virus (ou, surtout, pour en améliorer un autre), il n'y a pas besoin de disposer de milliards de dollars (ou d'euros).

Quant aux motivations, elles sont nombreuses : politiques, économiques, religieuses (en particulier les chiites & les sunnites qui se tapent dessus par "révolutions arabes" interposées), diplomatiques...

Donc, que les États-Unis & Israël fassent des coupables idéaux & faciles, c'est vraisemblable. Qu'ils soient réellement responsables de ce virus est plus douteux. Donc, il faut être très prudent avant d'accuser formellement qui que ce soit comme tu l'as fait.
Il y a un gouffre entre le soupçon & la condamnation (avec preuves, évidemment), gouffre que tu as franchi sans complexe. D'où réactions.

[Ryu2000]

D'accord.
Tout ce que je voulais dire c'était :

Donc, que les États-Unis & Israël fassent des coupables idéaux & faciles, c'est vraisemblable.

Je ne sais pas comment ça ce passe en sécurité habituellement, est-ce qu'on fini par trouver qui à réellement commandé un virus ou est-ce qu'on ne sait jamais vraiment ?

[rt15]

Fin bon quand on voit les déclarations des israéliens et les cibles du virus, difficile d'avoir des doutes.

Le ministre israélien des Affaires stratégiques Moshé Yaalon a justifié mardi le recours à de puissants virus informatiques, comme la "cyber-arme" Flame, découverte récemment, afin de contrer la menace nucléaire iranienne. "Il est justifié, pour quiconque considère la menace iranienne comme une menace significative, de prendre différentes mesures, y compris celle-là, pour la stopper", a-t-il déclaré à la radio militaire, alimentant les spéculations sur une possible implication d'Israël dans ce programme informatique.

Source.

Iran: un virus [Flame] s'est attaqué au secteur pétrolier

Source.

[rhludovic]

Pour moi, il n'y a aucun doute que le commanditaires soit un service d'état. Israël et les USA sont les principaux suspect?je crois qu'il y a beaucoup d'autres pays capables de réunir les moyens pour créer un virus pareil.

20Mo c'est quand même gros non? En plus qu'ils utilisent déjà de la compression.

Ce qui m'impressionne le plus, c'est l'usage du Bleutooth.

[Invité]

Quand on lit parfois que la prochaine guerre mondiale pourrait être numérique, on n'est pas dans la science fiction. Imaginons la multiplication de ce genre de codes visant les infrastructures financières, les communications etc. De quoi paralyser tout un pays en s'attaquant aux bons points stratégiques, et ce sans forcément faire de nombreuses victimes humaines (ou alors les victimes humaines seraient juste un dommage collatéral). Certains (dont moi) rient par exemple du film "Die Hard 4.0" mais ce scénario pourrait fort bien devenir réalité un jour.

C'est triste de voir la complexité que les développeurs peuvent mettre pour imaginer un malware comme celui-ci, peut être plus que pour un logiciel qui pourrait sauver des vies!

[jmnicolas]

Quand on lit parfois que la prochaine guerre mondiale pourrait être numérique, on n'est pas dans la science fiction. Imaginons la multiplication de ce genre de codes visant les infrastructures financières, les communications etc. De quoi paralyser tout un pays en s'attaquant aux bons points stratégiques, et ce sans forcément faire de nombreuses victimes humaines (ou alors les victimes humaines seraient juste un dommage collatéral). Certains (dont moi) rient par exemple du film "Die Hard 4.0" mais ce scénario pourrait fort bien devenir réalité un jour.

Imagine un pays comme la France victime d'une attaque qui paralyse tous ses systèmes informatiques : plus d'argent, plus de services de secours, plus de logistique, plus d'information etc ...

C'est le chaos en moins de 24h et le nombre de morts serait énorme : plus de bouffe dans les supermarchés, malades graves non pris en charge (qui va livrer l’oxygène dont on besoin les insuffisants respiratoires, qui va livrer l'insuline etc), Police et Pompiers débordés et incapables de s'organiser ...

Inversement tu lances le même genre d'attaque sur la Corée du Nord et tu aurais des résultats "décevants" : l'informatisation y est quasiment absente, ils "savent" tout faire sans.
Nous on ne "sait" plus.

[ALT]

En Corée du Nord, ils crèvent de faim. Sans informatique, en effet.
Donc l'informatique est nécessaire pour pas crever de faim.
CQFD.