En ce début de semaine, une équipe de chercheurs de Kaspersky a révélé avoir découvert un nouveau virus au Proche-Orient, plus complexe et plus puissant que toutes les autres cyberarmes connues jusque-là.
Israël suspecté
D’une complexité apparemment inédite, le programme baptisé Flame pourrait avoir été conçu par Israël dans le but d’attaquer l’Iran. Un ingénieur de Kaspersky en Israël a déclaré à l’AFP « Il est peu vraisemblable qu’un individu ou même une compagnie privée puisse investir autant de temps et d’argent dans une telle initiative. Ce doit être l’œuvre d’un gouvernement ».
L’Iran, en la personne de Ramin Mehmanparast, porte-parole des Affaires étrangères, a rejeté hier la responsabilité de cette attaque sur « certains pays ou régimes illégimites capables de produire des virus portant atteinte à tous les pays ». Une accusation à peine dissimulée contre Israël et les Etats-Unis, vraisemblablement à l’origine des précédentes attaques informatiques contre l’Iran.
De son côté, le ministre israélien des Affaires stratégiques et vice-premier ministre, Moshé Yaalon, n’a pas démenti les accusations portées au gouvernement israélien et a ajouté « il est justifié, pour quiconque considère la menace iranienne comme une menace significative, de prendre différentes mesures, y compris [Flame], pour la stopper ».
Une arme inédite
C’est en effectuant des recherches sur un autre malware, Wiper, que les experts de Kaspersky Labs ont découvert Flame, un malware si « incroyablement sophistiqué qu’il redéfinit la notion de cyberguerre et de cyberespionnage ».
En 2010, Stuxnet s’attaquait déjà aux installations nucléaires iraniennes en provoquant une panne des centrifugeuses. Cette fois, Fame exploiterait les mêmes failles de Windows que Stuxnet et serait capable de collecter des données à distance, d’activer le micro d’un PC, de se connecter à des messageries instantanées, d’enregistrer des conversations, de modifier les réglages de la machine, de faire des captures d’écran, de récupérer des documents… Le tout, sans se faire remarquer et en s’autodétruisant une fois sa tâche accomplie.
Selon Laurent Heslaut, directeur des stratégies de sécurité chez Symantec, « Stuxnet n’était qu’un outil à tête chercheuse, pour une tâche précise, nous sommes ici devant une véritable boîte à outils dont on n’a pas encore fini de lister les outils ! Flame est extrêmement modulaire, mais contient aussi de nombreux mécanismes en mesure de nous empêcher de la décrypter trop vite et de remonter jusqu’aux auteurs… ».
A ce jour, plus de 600 cibles connues ont été attaquées, probablement à la suite d’un message personnalisé, extrêmement bien conçu, envoyé aux victimes par mail, par exemple. Le virus serait en activité depuis 5 ans environ et sévirait notamment en Iran, en Israël et Palestine, au Soudan, en Syrie, au Liban, en Arabie Saoudite et en Egypte.
L’Iran dit avoir trouvé un antidote
Hier, l’Iran annoncé être parvenu à produire un antivirus capable d’identifier et de détruire Flame. L’antivirus est « à la disposition des organes et des administrations qui en font la demande ».
Si aucune précision n’est apportée à ces déclarations, on apprend également que Flame serait à l’origine du vol d’informations à grande échelle au cours des dernières semaines.