Comment réagir à la découverte du nouveau malware Flame ?
Flame est un virus ultra-sophistiqué, conçu comme une boîte à outil pour cyber-espion. Il permet de récupérer sur les ordinateurs infectés n’importe quel document : email, liste de contacts, de faire des copies d’écran, d’enregistrer le son ambiant mais aussi d’enregistrer les mots de passe tapés ou les conversations par chat. Il s’agit d’un virus particulier du fait de sa taille : plus de 20 Mo, ce qui le rend difficilement détectable. Ses fonctionnalités et sa complexité démontrent clairement qu’il a été conçu par des développeurs chevronnés, fonctionnant en équipe. Il faudra de nombreux mois avant que les chercheurs en sécurité ne soient capables d’en comprendre complètement le fonctionnement.
Il représente un risque sérieux, en particulier pour les entreprises et les infrastructures critiques des états. Les dernières annonces sont inquiétantes, en particulier sur l’usurpation des mécanismes de confiance de Windows Update. La découverte de Flame pousse même une agence des Nations Unis à lancer une alerte officielle aux différents états membres pour qu’ils prennent des mesures conservatoires. Cependant, bien qu’en circulation depuis plusieurs années, ce virus n’aurait touché qu’un millier de PC, principalement au Moyen Orient. Le parallèle avec le virus Stuxnet est certes frappant, mais il est trop tôt pour y voir un lien direct.
En parallèle, des informations sur l’origine du virus Stuxnet ont été révélées par la presse américaine ; doit-on voir les Etats-Unis et Israël derrière ce projet ?
Les informations circulant actuellement mentionnent une collaboration entre ces deux pays afin de viser le programme nucléaire iranien par le biais d’une cyberattaque. Les détails de cette histoire sont passionnants, comme l’explique l’article du New York Times. Ces révélations corroborent ce que les experts sécurité avaient envisagé : la complexité de l’attaque et ses particularités ne pouvaient être qu’une attaque ciblée en provenance de puissance étatique. L’attaque a été révélée au grand public car le code malicieux a échappé à son concepteur et s’est répandu plus largement que prévu.
Que préfigurent ces deux évènements ?
Elles démontrent clairement que les attaques deviennent de plus en plus ciblées. Dans le cas de Flame et de Stuxnet, des Etats sont à l’origine des attaques. Mais ce mouvement de ciblage touche aujourd’hui également les services financiers avec des attaques très précises sur les sites de banque en ligne, avec des malwares comme Zeux ou Torpig qui sont adaptés pour comprendre la logique des sites et modifier leurs attaques en fonctions, en y impliquant aussi les téléphones mobiles des clients. Ce ciblage se retrouve également dans les attaques contre les entreprises, où les pirates enquêtent par exemple par l’intermédiaire des réseaux sociaux et utilisent des moyens spécifiques, adaptés à leur cible, pour dérober des informations sensibles internes.
Il apparaît clairement que la menace se précise, qu’elle se professionnalise et que les attaquants sont en mesure de mobiliser moyens importants au vu les gains financiers qu’ils tirent des attaques.
Les entreprises et les grandes organisations doivent suivre le même chemin et augmenter leur niveau de sécurité en fonction de leurs enjeux, une refonte des modèles de sécurité est bien souvent nécessaire pour se recentrer sur les périmètres les plus critiques (cf tribune attaques ciblées).