Rah ça me démangeait trop! Je ne pouvais résister à l'envie de vous mettre une image de Earthworm Jim en couverture mais qui n'a rien à voir avec cet article... Élan de nostalgie j'en sais rien.
Pour en revenir au sujet qui nous amène ici, des chercheurs en sécurité ont découvert "la cyber-arme la plus sophistiquée" jamais vue au Moyen-Orient. Le programme malveillant, appelé Flame, a une structure modulaire et se spécialise dans la collecte d'informations. Ses fonctionnalités comprennent la possibilité d'enregistrer de l'audio, les touches de votre clavier, le trafic réseau et de prendre des screenshots du système de la victime. Il semble avoir été déployé depuis plusieurs années et a été utilisé pour des attaques ciblées dans des pays comme l'Iran, Israël, le Soudan, la Syrie et le Liban tout en demeurant indétectable par les antivirus.
Des spécialistes en sécurité de chez Kaspersky et Symantec ont découvert jusqu'à 20 modules dont seulement une poignée ont été étudiés en détail. Il contient une machine virtuelle pour la langage de script Lua, ce qui rend facile l'intégration d'un ensemble d'extensions. Ce super-spy, connu sous le nom de Flamer ou SkyWiper, est aussi un bot classique qui se connecte régulièrement à un serveur C&C à partir duquel il obtient de nouvelles instructions et fournit les informations qu'il recueille à l'aide d'une connexion chiffrée SSL.
Le bot a divers moyens de propagation dont les plus répandus sont clés USB et réseaux locaux. Sur un réseau local, Flame est en mesure d'utiliser le contrôleur de domaine pour créer des comptes utilisateurs sur d'autres ordinateurs qu'il utilise ensuite pour les infecter. Il n'est pas encore tout à fait clair si celui-ci se propage via des vulnérabilités sur Windows. Par exemple, Kaspersky signale que Flame a réussi à infecter un PC sous Windows 7 entièrement patché sur un réseau.
Compte tenu de l'ampleur même de sa fonctionnalité, les experts en sécurité de Kaspersky croient que Flame est un logiciel d'espionnage professionnel développé par un État/Pays. Le malware pèse une taille impressionnante d'environ 20Mo. C'est 20 fois plus que le célèbre Stuxnet même si celui-ci a été spécifiquement développé pour saboter l'usine d'enrichissement d'uranium à Natanz.
Ici par contre la cible de ce malware demeure incertaine. Il aurait été déployé dans divers scénarios pour pénétrer des cibles spécifiques. Les chercheurs ont observé qu'il s'est propagé sur des systèmes gouvernementaux, des établissements d'enseignement et des particuliers. Ils estiment que des milliers d'ordinateurs sont infectés.
Selon un rapport de CrySys Lab, il a d'abord été repéré en Europe en 2007. Flame peut avoir été en action depuis 8 ans sans avoir été détecté par le moindre antivirus. On attend la suite évidemment et je vous tiendrai au courant.
MISES A JOUR DE L'ARTICLE |