jeudi 31 mai 2012

Une opération cyberpsychologique nommée Flame

Dans la presse généraliste comme dans les webzines technologiques, les titres sensationnalistes font presque penser à un « armhackeddon » : Massive cyberattack discovered... Flame prend la relève de Stuxnet et Duqu... Flame on the cyberwarfare horizon... Flame, une nouvelle étape dans la cyberguerre... 



Ne blâmons pas trop les rédactions : en qualifiant Flame de cyberarme (cyberweapon), la firme cybersécuritaire Kapersky a allumé cette mèche à des fins essentiellement infomerciales mais n'a guère surpris les afiocionados de la cybersécurité habitués à ses coups d'éclat depuis les affaires Stuxnet et Duqu.

Tremblez, cybernautes! Le mal est à vos portes. Mais nous l'avons isolé. Achetez nos vaccins!

Il ne restait plus qu'à asséner l'horrible vérité : le ver Flame – qui apprécie particulièrement les industries iraniennes - ne peut être que l'oeuvre d'un Etat ou de hackers lourdement financés et appuyés.

Un bonheur ne venant jamais seul, le vice-premier ministre israélien Moshe Yaalon montra les crocs – dans le sillage immédiat de Kapersky - en affirmant que « celui qui voit la menace iranienne comme une menace importante est susceptible de prendre diverses mesures, y compris celle-ci. […] Israël est en pointe dans les nouvelles technologies et ces outils nous offrent toutes sortes de possibilités. »

Info ou intox ? Peu importe. Le cyberstratégiste du dimanche peut enfin regarder vers les Etats-Unis, pointer Israël du doigt et aboutir à l'équation ultime : Flame = Stuxnet = CIA + Mossad vs. Iranium.

Ne passons pas à côté des choses simples.

De nombreux blogs et webzines de cybersecurité tels que Securelist, Si Vis Pacem, eConflicts, Eric Filliol (Atlantico), Informationweek, The Register, Darkreading et CrySys ont rapidement offert leurs très instructifs éclairages sur la réalité technique de Flame.

Ce malware n'est guère destiné à nuire ou à « cyboter » un système de contrôle industriel (SCADA) comme le ferait Stuxnet, c'est d'abord et surtout un remarquable couteau suisse de cyberspionnage, conçu pour cibler des ordinateurs/serveurs particuliers et pour dérober leurs informations sensibles (authentifications, propriété intellectuelle, données industrielles/commerciales, etc).

Flame n'est donc pas une cyberarme ou un outil de cyberguerre, et ce, quand bien même une opération plus sournoise ou plus agressive serait précedée d'une longue campagne d'espionnage.


Grâce à son architecture modulaire, il intègre une multitude de fonctions et de modes opératoires, s'auto-duplique et se propage furtivement via des emails piégés (de spear-fishing ou hameçonnage), l'Internet, les clés USB, les réseaux locaux, et combine les fonctions de très nombreux malwares et procédés (botnet C&C, Remote Access Tool) couramment utilisés dans le cybercrime et dans le cyberespionnage.

Sa complexité intrinsèque explique probablement sa lourdeur inhabituelle (20 Mo au lieu de 50 Ko maximum pour un ver classique), évoque celle de Stuxnet ou de Duqu (malgré d'énormes différences programmatiques) et incite à penser que des moyens techniques et financiers conséquents (hors de portée des hackers conventionnels) ont été consacrés à son développement.



La prolifération de Flame dans les industries énergétiques de plusieurs pays du Moyen-Orient n'implique pas nécessairement que ses « commanditaires » aient ciblé l'Iran ou qu'il soit supervisé par Israël ou par les Etats-Unis.

Toutefois, si j'étais la main invisible derrière Flame, je ferais en sorte que Tel-Aviv ou Washington (et pourquoi pas Pékin ?) soit tacitement accusé par tous. Si j'étais l'Amérique ou Israël, je ne refuserais guère que l'opprobe internationale m'attribue – à tort ou à raison - une opération clandestine aussi brillante que malveillante... qui effrayerait de surcroît mes ennemis potentiels ou réels.

Dans les deux cas de figure, j'aurais réussi mon opération psychologique car les médias et les analystes en cybersécurité regarderont dans de multiples directions sans jamais trouver la bonne. 

Aucun commentaire: