Pour gérer vos consentements :

Sécurité IT : ce que la mèche de Flame révèle selon Kaspersky

Kaspersky Lab a effectué une première autopsie de Flame du nom d’un malware découvert fin mai à l’occasion d’une enquête déclenchée par l’Union internationale des télécommunications (UIT, branche de l’ONU).

Selon l’éditeur de solutions de sécurité IT, il s’agit du « kit d’outils d’attaque le plus complet et complexe à ce jour » exploité à des fins de cyberespionnage.

Il a scruté l’un des serveurs de commande et de contrôle (C&C) du malware, en collaboration avec des fournisseurs de services Internet (hébergement, DNS) comme GoDaddy et OpenDNS.

Les résultats de leur investigation ont été transmis aux autorités nationales en charge de la sécurité IT (CERT) afin qu’elles prennent les mesures nécessaires.

C’est du lourd dans la sécurité IT, pourrait-on résumer. Dans la lignée du  « ver industriel » Stuxnet.

Les premières traces de Flame remontent à 2008. Sur les quatre dernières années, plus de 80 domaines ont été utilisés par les serveurs C&C de Flame.

L’infrastructure supportant le malware a fait l’objet de multiples migrations : Hong Kong, Turquie, Allemagne, Pologne, Malaisie, Lettonie, Royaume-Uni, Suisse…

Les auteurs, non identifiés en l’état actuel, se sont cachés sous de multiples fausses identités pour aspirer de préférence des documents aux formats PDF et Office et les schémas AutoCad (conception assistée par ordinateur).

« Les documents volés étaient compressés à l’aide de la librairie open source Zlib et d’une variante de la méthode PPDM  [Privacy Preserving Data Mining, ndlr] et ils étaient cryptés de manière simple », précise Kaspersky.

La plupart des zones géographiques ont été infectées par Flame : Moyen-Orient, Europe, Amérique du Nord, Asie-Pacifique.

La version Windows 7 64 bits est considérée comme efficace pour contrer Flame.

Néanmoins, Microsoft a dû diffuser un patch d’urgence pour tous ses systèmes Windows en raison d’une faille exploitée par Flame.

A priori en passant par un algorithme de chiffrement obsolète  via l’application Terminal Server (travail à distance) servant à délivrer de faux certificats électroniques.

On peut trouver l’analyse complète par Kaspersky de l’infrastructure C&C de Flame et les détails techniques sur le site Securelist.

Derrière l’exploitation de Flame, l’implication d’un Etat ne serait pas guère étonnante à des fins de cyber-espionnage.

En raison des fortes tensions diplomatiques avec l’Iran, on évoque régulièrement la plausible implication de cellules d’experts informatiques (militaires?) travaillant pour le compte des Etats-Unis ou d’Israël.

Ainsi, Flame a particulièrement affecté les compagnies pétrolières (stratégiques) en Iran.

Signe de cette fébrilité : selon le New York Times, le président américain Barack Obama aurait donné son feu vert pour accroître le nombre de cyber-attaques contre le programme nucléaire iranien sous le nom de code « Olympic Games ».

Crédit photo : © Cybrain – Fotolia.com

Recent Posts

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

2 semaines ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

2 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

2 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

3 mois ago

Windows 11 : comment Microsoft va réduire la taille des mises à jour

Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…

4 mois ago

Windows 11 : comment Bloc-notes va remplacer WordPad

Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…

4 mois ago