Flame, les yeux et les oreilles de la cyberguerre

Découvert récemment, le redoutable logiciel espion Flame visait surtout l’Iran. Tout comme son prédécesseur Stuxnet, créé par les Etats-Unis et Israël afin de saboter les centrales nucléaires. Un lien ténu existe entre les deux.

« Nous avons maintenant découvert ce qui pourrait être la cyberarme la plus sophistiquée jamais enclenchée.  » En entamant par ces mots un long billet sur le blog Securlist.com, le 28 mai, l’analyste antivirus Alexander Gostev, de la société russe Kaspersky, ignorait encore une bonne part des surprises qu’allait lui réserver l’arme en question. Son nom de baptême : Flame, comme celui de l’un des modules par lesquels elle se propage. Sa cible présumée : l’Iran. Son objectif : enregistrer tout ce qui se passe dans l’ordinateur de la victime… et dans ses environs. Ses concepteurs : inconnus, mais plus que probablement à la solde d’un État. Bref, un redoutable espion au service d’une guerre informatique menée dans le secret depuis au moins deux ans. Seul le hasard a permis de le repérer.

Fin avril, détaille le magazine américain Weekly Standard, le ministère iranien du Pétrole et la compagnie pétrolière nationale ont constaté que le contenu de certains de leurs ordinateurs avait été totalement effacé. Craignant une attaque informatique, l’Etat a demandé l’aide des Nations unies afin d’identifier la menace. Ce qui n’a pas tardé : son industrie pétrolière avait été victime d’un logiciel malveillant inconnu, provisoirement baptisé  » Wiper  » (nettoyeur). Les experts de l’Union internationale des télécommunications, une institution des Nations unies, ont vite compris que le problème dépassait leurs compétences. Aussi ont-ils confié l’enquête à Kaspersky Lab.

Kaspersky a fait chou blanc. Pour l’heure, on n’en sait guère plus sur ce mystérieux  » Wiper « . Mais au fil de leurs recherches, les analystes ont découvert sur les machines inspectées d’autres intrus insoupçonnés. Les morceaux d’un programme d’une telle complexité que la traque du  » nettoyeur  » en est passée au second plan.

Certains spécialistes en sécurité stratégique estiment que Flame, puisqu’on parle de lui, ne fait pas grand-chose de plus que les logiciels espions classiques. Mais ce qu’il fait, il le fait à fond et tous azimuts. Une fois assemblé sur une machine équipée de Windows – où il peut entrer vraisemblablement grâce à une faille de sécurité du navigateur, un fichier dans un mail, une clé USB infectée, un réseau interne compromis… -, il scrute le contenu du disque dur, avec une prédilection pour les fichiers PDF, Office et Autocad (dessin assisté par ordinateur). Il enregistre également la moindre frappe sur le clavier et effectue des captures d’écran régulières. Il peut aussi déclencher le micro du PC pour enregistrer les conversations environnantes. Il sait enfin, et c’est nouveau, scanner les alentours du PC pour collecter des informations sur les périphériques Bluetooth, par exemple un téléphone portable. La totale.

Les données dérobées sont transmises par Internet à des serveurs C&C (commande et contrôle), un réseau d’ordinateurs détenus par ceux qui man£uvrent les logiciels espions. Début juin, Kasperky est parvenu à reconstituer la toile des C&C. L’éditeur a identifié plus de 80 noms de domaines enregistrés sous de faux noms de 2008 à 2012, notamment en Allemagne, Turquie, Malaisie, Pologne, Royaume-Uni, Suisse et Lituanie. La plupart se seraient déconnectés dès que Flame a été mis au jour. Le programme, lui, serait entré en action à partir de 2 010.

Tout laisse penser que les cerveaux de Flame travaillent au service d’un Etat : sa complexité, ses objectifs, mais aussi ses cibles. Sur le millier d’ordinateurs infectés, près d’un sur cinq se trouve en Iran d’après Kaspersky, les autres se partageant entre Israël et les territoires palestiniens, la Syrie, le Liban, l’Arabie Saoudite et l’Égypte. On l’aurait aussi détecté en Europe, en Amérique du Nord et en Asie-Pacifique, selon d’autres éditeurs d’antivirus. Les chances que ses créateurs soient rapidement identifiés paraissent toutefois minimes. Ne pas laisser d’indices exploitables semble leur maître mot. A la mi-juin, la société de sécurité informatique Symantec a ainsi constaté que Flame avait reçu l’ordre de s’autodétruire : sur plusieurs machines infectées, le logiciel s’est tout bonnement volatilisé.

Mais tout comme un criminel ne manque jamais de laisser une trace ADN derrière lui, les programmeurs de Flame ont semble-t-il négligé un détail. Un module de rien du tout nommé  » ressource 207 « . Un module, toujours selon Kaspersky, que l’on retrouve également dans l’une des premières versions de Stuxnet, une arme de cyberguerre découverte en 2010.

Lorsqu’on trouve une clé USB égarée, le réflexe de tout un chacun est de l’introduire dans un ordinateur afin de savoir ce qu’elle contient. C’est ainsi que s’est propagé Stuxnet. Sa mission : détraquer des procédés industriels. Plus précisément le système de télégestion Scada. Une technologie Siemens qui équipe notamment les installations nucléaires iraniennes… En modifiant légèrement la vitesse des centrifugeuses à uranium, Stuxnet entraînait des vibrations qui finissaient par endommager les moteurs. Nul n’en aurait peut-être jamais eu vent si, en 2010, un ingénieur iranien n’avait malgré lui propagé Stuxnet sur le Web, le diffusant dans le monde entier. On ignore l’ampleur des dégâts qu’il a pu provoquer. Selon plusieurs experts, l’arme de cyberguerre aurait tout au moins retardé le programme nucléaire iranien de deux ans.

Cyberguerre, le mot a vite été lâché. Qui, sinon un Etat hostile, aurait pu concevoir un outil si spécialisé, fruit de milliers d’heures de programmation ? Tous les regards se sont bien sûr tournés vers les Etats-Unis et Israël, sans toutefois l’ombre d’une preuve.

Dans un livre qui a créé de sérieux remous politiques aux Etats-Unis (1), le journaliste du New York Times David Sanger est venu récemment confirmer ces soupçons. Sanger, qui a manifestement ses sources au coeur de l’administration Obama, détaille comment le président Bush, puis son successeur, ont lancé et développé Stuxnet, en collaboration avec le gouvernement israélien. Nom de code : Opération  » Jeux olympiques « .

Flame est-il issu du même partenariat ? Selon Sanger, l’administration Obama décline toute responsabilité et assure que le logiciel espion n’était pas intégré dans l’opération  » Jeux olympiques « . Quant à Kaspersky, qui a identifié un élément commun entre les deux programmes, son analyse conclut : 1° que Flame existait déjà lorsque Stuxnet a été créé, entre janvier et juin 2009 ; 2° qu’une version Stuxnet de 2009 a utilisé l’un des modules de Flame ; 3° que les deux logiciels malveillants ont évolué de manière séparée à partir de 2010. Conclusion : les développeurs de l’un et de l’autre ont collaboré pendant une certaine période, mais forment deux équipes distinctes. Et tous les regards cette fois de se braquer vers Israël, qui réfute toute implication.

(1) Confront and Conceal : Obama’s Secret Wars and Surprising Use of American Power, Crown, 5 juin 2012.

ETTORE RIZZA