Dans
la presse généraliste comme dans les webzines technologiques, les
titres sensationnalistes font presque penser à un « armhackeddon »
: Massive cyberattack discovered... Flame prend la relève de
Stuxnet et Duqu... Flame on the cyberwarfare horizon... Flame, une
nouvelle étape dans la cyberguerre...
Ne
blâmons pas trop les rédactions : en qualifiant Flame de cyberarme
(cyberweapon), la firme cybersécuritaire Kapersky a allumé
cette mèche à des fins essentiellement infomerciales mais n'a guère surpris les afiocionados de la cybersécurité
habitués à ses coups d'éclat depuis les affaires
Stuxnet et Duqu.
Tremblez,
cybernautes! Le mal est à vos portes. Mais nous l'avons isolé.
Achetez nos vaccins!
Il
ne restait plus qu'à asséner l'horrible
vérité : le ver Flame – qui apprécie particulièrement les
industries iraniennes - ne peut être que l'oeuvre d'un Etat ou de
hackers lourdement financés et appuyés.
Un
bonheur ne venant jamais seul, le vice-premier ministre israélien
Moshe Yaalon montra les crocs – dans le sillage immédiat de
Kapersky - en
affirmant que « celui
qui voit la menace iranienne comme une menace importante est
susceptible de prendre diverses mesures, y compris celle-ci.
[…]
Israël est en pointe dans les nouvelles technologies et ces outils
nous offrent toutes sortes de possibilités. »
Info
ou intox ? Peu importe. Le cyberstratégiste du dimanche peut enfin
regarder vers les Etats-Unis, pointer Israël du doigt et aboutir à
l'équation ultime : Flame = Stuxnet = CIA + Mossad vs. Iranium.
Ne
passons pas à côté des choses simples.
De
nombreux blogs et webzines de cybersecurité tels que Securelist,
Si
Vis Pacem, eConflicts,
Eric
Filliol (Atlantico), Informationweek,
The
Register, Darkreading
et
CrySys
ont rapidement offert leurs très instructifs éclairages sur la
réalité technique de Flame.
Ce malware n'est guère destiné à nuire ou à « cyboter » un
système de contrôle industriel (SCADA)
comme le ferait Stuxnet, c'est d'abord et surtout un remarquable
couteau suisse de cyberspionnage,
conçu
pour cibler des ordinateurs/serveurs particuliers et pour dérober
leurs informations sensibles (authentifications, propriété
intellectuelle, données industrielles/commerciales, etc).
Flame n'est donc pas une cyberarme ou un outil de cyberguerre, et ce,
quand bien même une opération plus sournoise ou plus agressive
serait précedée d'une longue campagne d'espionnage.
Grâce
à son architecture modulaire, il intègre une multitude de fonctions
et de modes opératoires, s'auto-duplique et se propage furtivement
via des emails piégés (de spear-fishing
ou hameçonnage), l'Internet, les clés USB, les réseaux locaux, et
combine les fonctions de très nombreux malwares et procédés
(botnet C&C,
Remote
Access Tool)
couramment utilisés dans le cybercrime et dans le cyberespionnage.
Sa
complexité intrinsèque explique probablement sa lourdeur
inhabituelle (20 Mo au lieu de 50 Ko maximum pour un ver classique),
évoque celle de Stuxnet ou de Duqu (malgré d'énormes différences
programmatiques) et incite à penser que des moyens techniques
et financiers conséquents (hors de portée des hackers conventionnels) ont été
consacrés à son développement.
La
prolifération de Flame dans les industries énergétiques de
plusieurs pays du Moyen-Orient n'implique pas nécessairement que ses
« commanditaires » aient ciblé l'Iran ou qu'il soit
supervisé par Israël ou par les Etats-Unis.
Toutefois,
si j'étais la main invisible derrière Flame, je ferais en sorte que
Tel-Aviv ou Washington (et pourquoi pas Pékin ?) soit tacitement
accusé par tous. Si j'étais l'Amérique ou Israël, je ne
refuserais guère que l'opprobe internationale m'attribue – à tort
ou à raison - une opération clandestine aussi brillante que
malveillante... qui effrayerait de surcroît mes ennemis potentiels
ou réels.
Dans
les deux cas de figure, j'aurais réussi mon opération psychologique
car les médias et les analystes en cybersécurité regarderont dans
de multiples directions sans jamais trouver la bonne.
Aucun commentaire:
Enregistrer un commentaire