Il a les yeux de son père Stuxnet, et le sourire de sa mère Duqu. Révélé par un communiqué commun Kaspersky-ITU, Flame serait aussi destructeur qu’Attila, Tamerlan et Gengis Kahn réunis. Il aurait notamment frappé un peu moins de 300 fois au sein d’organisations et grandes entreprises situées dans un croissant moyen-oriental constitué de l’Iran, d’Israël, du Soudan, de la Syrie, du Liban, de l’Arabie Saoudite et de l’Egypte. Moins de 300 infections à risque ? A ce rythme-là, le reboot intempestif d’un ordinateur portable va provoquer des avalanches de communiqués émis par les vendeurs de firewall et d’antivirus… qu’a donc Flame qui justifie une couverture médiatique inversement proportionnelle à l’étendue de sa force de frappe ? Comment se fait-il également que le seul qui soit actuellement en train de crier « au loup » soit un éditeur d’antivirus Russe ?
Flame, explique Aleks au fil d’une foire aux questions très pédagogique, est un voleur d’information, capable même de saisir les conversations passant à portée de micro d’ordinateur. Ce n’est pas un outil en quête de numéros de carte de crédit ou un vulgaire « identity harvester », pas plus qu’il ne cherche à chiffrer des données en obligeant sa victime à acquérir à prix d’or une clef de récupération. Ce n’est donc pas un code d’origine mafieuse.
Il n’est nulle part inscrit « Gardarem lou Larzac » ou « Les Poldèves vaincront ! » dans un repli caché de son code, et il s’est répandu aussi bien en Lybie qu’en Israël ou en Iran… ce n’est donc pas un virus « hacktiviste ». S’il n’est pas mafieux, s’il n’est pas politique, alors, il n’est pas-t-à-qu’est-ce ? Et les gourous de Kaspersky de conclure : il n’existe qu’une seule réponse possible : c’est là un virus militaire, une infection née des techniques de « weaponisation » visant spécifiquement non seulement des pays du moyen orient, mais également des formes d’information qui ne peuvent intéresser que des armées constituées.
Il faut admettre que dans le genre « inspecteur Colombo », Flame est un modèle. Sa perquisition informatique vaut bien une attaque Nmap en règle, explique par le détail et en code dans le texte Sergei Shevchenko dans le blog « Stratsec » de BAE System. C’est là, de loin, l’une des analyses les plus intéressantes qui se soient publiées à ce jour. On y découvre tout ce que Flame tente de bruteforcer , les logiciels de sécurité qu’il muselle, les téléphones mobiles qu’il recense, les logiciels bureautiques et de communication employés. Flame sent la patte d’un habitué des perquisitions « forensiques » : il pue le virus-flic à plein nez. Et c’est ce qui fait son charme médiatique.
Bien entendu, Flame n’a rien de l’attaque apocalyptique que certains de nos éminents confrères ont bien voulu décrire. C’est là un Spyware propre, limite classique, et assez mal écrit ou trop largement diffusé pour qu’il puisse passer en dessous de la couverture radar des outils de détection. En cela, Flame est un échec cuisant, surtout comparé au vecteur d’attaque qui a su vivre 4 ans durant dans les machines d’un Areva par exemple. Or, « bon » virus militaire ou de barbouze est un virus discret. Reste que son fameux 32.ocx a des chances de se retrouver, moyennant quelques modifications, dans les entrailles de l’un de ses successeurs.
Admirons au passage l’habileté de certains de nos confrères qui, se rendant compte qu’un virus avec 300 « hits » a peu de chance d’émouvoir un RSSI ou un lecteur de journal Web, titrent tapageusement « Flame n’est pas un danger pour l’industrie ». Le mot Danger dans un titre, ça fait toujours vendre. Ou ces éditeurs de logiciels de déploiement de correctifs qui affirment que leurs clients ne risquent rien puisque leur bibliothèque de mise à jour a depuis belle lurette comblé la ou les failles servant de tremplin à Flame, en titrant leur communiqué « Exclusif, la vérité sur Flame expliquée par le Docteur X, du labo de MachinTech ».
Il fut une époque où la moindre alerte lancée par un éditeur aurait provoqué une multitude d’échos amplificateurs. Aujourd’hui, il faut au moins le hurlement d’une meute de loups pour que le public s’émeuve. Alors, Haro sur Kaspersky ? Certainement pas. Malgré une légère sur-médiatisation (il faut bien que vivent les Dir Com), les analyses de Flame confirment cette tendance à la militarisation des codes de cyberattaque, à l’amélioration du ciblage géographique desdites attaques, et à l’allègement considérable des tentatives de diffusion (le nombre d’infections recensées étant relativement faible).
