Virus Flame : les commentaires d'Eset et du ministre iranien

Retour sur le virus Flame, qui engendre de nombreuses réactions depuis quelques heures...

Hier, nous évoquions le virus Flame (ou Flamer), découvert comme actif au Proche-Orient et considéré par Kaspersky comme la troisième arme informatique la plus puissante jamais vue derrière Stuxnet et Duqu. Depuis, la plupart des spécialistes de la sécurité informatique ont réagi. C'est notamment le cas des laboratoires de Bitdefender qui ont publié un outil de désinfection qui permet de supprimer Flame d'un ordinateur (ou en tout cas l'une de ses variantes) et qui creusent le sujet en analysant peu à peu le code du virus.

Une flame médiatique trop intense ?

De son côté, ESET, éditeur de l'antivirus Nod32, publie par la voix de Jonathan Azria, l'un de ses chercheurs en sécurité, un long billet qui démystifie le malware. On peut lire dans ce message plusieurs passages intéressants :

"Le malware, qu'ESET appelle Win32/Flamer, est relativement complexe et inquiétant, mais la vague médiatique et les spéculations autour de cette menace sont tout autant étendues et ambiguës. Ce qui semble être une menace sophistiquée a été repéré dans plusieurs régions. Dans certaines d'entre elles, particulièrement sensibles en termes politiques, un grand intérêt et des appréciations contradictoires se sont manifestés, notamment sur la paternité de la détection

Selon le CERT, organisme national Iranien, ce malware aurait été détecté, mais non éradiqué, par ses services début mai, tandis que Kaspersky prétend qu’il était en ligne depuis mars 2010. En fait, il semble qu’il s’agit du même malware repéré par le laboratoire de la sécurité de cryptographie de Budapest (CrySyS) appelé sKyWIper (considéré comme étant en activité depuis 5 à 8 années ou plus)

Ne souhaitant pas entretenir encore plus de confusion, il nous semble utile d’indiquer que ce malware ne circule pas seulement en Asie et au Proche-Orient (Israël inclus) mais également en Europe de l'Est (notamment en Hongrie et en Autriche) et même à Hong Kong. Il n’est donc pas évident qu’il cible un pays spécifique car personne aujourd’hui ne peut affirmer, par exemple, que le vers Stuxnet a été détecté uniquement en Iran.  Tandis que certaines spéculations accréditent l’idée que la source du malware est liée d'une manière quelconque à Stuxnet et à Duqu, il nous semble que cette information n’est pas crédible car la majeure partie du code semble très différente.

L’élément le plus intéressant, semble-t’il est le fait que le CERT (le centre Maher en Iran) propose de partager des échantillons avec des acteurs de la sécurité bien que beaucoup de fournisseurs de logiciels (notamment aux USA) ne puissent pas commercer légalement avec l'Iran. (Bizarrement, ces programmes malveillants fonctionnent en Iran sur un logiciel d'exploitation que Microsoft ne peut pas exporter légalement vers l'Iran…). Cette restriction peut avoir entravé la détection initiale du malware par des fournisseurs de sécurité en dehors de la région, mais les échantillons ont malgré tout circulé goutte-à-goutte plus tardivement, via des circuits parallèles."

La réponse iranienne

Enfin, citons le ministre iranien de l'information et des technologies de communication qui annonce que "des outils destinés à reconnaître et supprimer ce malware ont été développés et qu'ils sont à la disposition des entreprises iraniennes". L'Iran n'a d'ailleurs pas tardé à accuser les Etats-Unis et Israël d'être à l'origine de Flame. D'ailleurs, Moshé Yaalon, vice-premier ministre israëlien, laissait entendre qu'il n'était pas impossible qu'un pays comme Israël produise ce genre de virus pour se protéger. Suspecté de vouloir développer l'arme nucléaire, nul ne doute que l'Iran est en tout cas bien épié par les services de renseignements internationaux, pour lesquels un virus comme Flame aurait un intérêt bien réel. Mais il faut s'y résigner, comme souvent en la matière, nous n'aurons sans doute jamais le fin mot de l'histoire...

Les commentaires sur ce document sont clos.

Publié le Modifié Par
Catégorie : Internet
Tags : ,
3 commentaires
POUR NOUS SUIVRE...
newsletter

ACTUALITÉS
Macworld
PCWorld