Le malware a été découvert par les experts de Kaspersky Lab au cours d’une enquête déclenchée par l’Union internationale des télécommunications (UIT). Le programme malveillant, détecté sous la dénomination Worm.Win32.Flame par les solutions de sécurité de Kaspersky Lab, est conçu pour se livrer à des activités de cyberespionnage. Il peut ainsi dérober de précieuses informations, notamment (mais pas uniquement) celles affichées sur des écrans d’ordinateurs ou concernant les systèmes ciblés, les fichiers stockés, les listes de contacts, voire les conversations audio.

Des études indépendantes ont été lancées par l’UIT et Kaspersky Lab après une série d’incidents relatifs à un autre malware destructeur, encore inconnu (nom de code Wiper), responsable de l’effacement de données dans un certain nombre d’ordinateurs en Asie occidentale. Ce malware spécifique reste à identifier mais, en analysant ces incidents, les experts de Kaspersky Lab, en coordination avec l’UIT, ont rencontré un nouveau type de code malfaisant, aujourd’hui répertorié sous le nom de Flame. Les premiers résultats indiquent que celui-ci se trouve « dans la nature » depuis plus de deux ans, plus précisément depuis mars 2010. En raison de son extrême complexité ainsi que du caractère ciblé de ses attaques, aucun logiciel de sécurité ne l’avait détecté jusque-là.

Bien que ses caractéristiques diffèrent de celles d’autres cyberarmes notoires découvertes précédemment telles que Duqu et Stuxnet, la répartition géographique des attaques, l’utilisation de vulnérabilités particulières dans les logiciels et le fait que seuls certains ordinateurs soient ciblés constituent autant de signes que Flame appartient à cette même catégorie des « super-cyberarmes ».

Eugene Kaspersky, CEO et cofondateur de Kaspersky Lab, commente : « Le risque d’une cyberguerre représente l’une des menaces les plus sérieuses dans le domaine de la sécurité informatique depuis plusieurs années déjà. Stuxnet et Duqu faisaient partie d’une même série d’attaques, qui a fait naître les craintes d’un cyberconflit mondial. Le malware Flame paraît correspondre à une autre phase de cette guerre et il faut avoir conscience que de telles cyberarmes peuvent être facilement dirigées contre n’importe quel pays. A la différence des dispositifs d’armements conventionnels, ce sont les nations les plus développées qui sont en fait les plus vulnérables. »

Flame paraît avoir pour principal objectif le cyberespionnage, par le vol d’informations sur les machines infectées. Ces informations sont ensuite transmises à un réseau de serveurs de commande et de contrôle éparpillés à travers le monde. Il peut s’agir aussi bien de documents, de copies d’écrans, d’enregistrements audio que de trafic intercepté, ce qui fait de ce kit d’outils d’attaque l’un des plus évolués et complets jamais découverts. Le vecteur exact d’infection n’est pas encore déterminé mais il est d’ores et déjà clair que Flame a la possibilité de se répliquer via un réseau local par plusieurs méthodes, parmi lesquelles la même vulnérabilité d’imprimante et méthode d’infection USB exploitée par Stuxnet.

Alexander Gostev, expert en chef de la sécurité chez Kaspersky Lab, précise : « Les premiers résultats de l’enquête, diligentée à la demande urgente de l’UIT, confirment le caractère extrêmement ciblé de ce programme malveillant. L’un des faits les plus alarmants est que la campagne de cyberattaques Flame est actuellement dans sa phase active et que son instigateur surveille en permanence les systèmes infectés, collectant des informations et visant de nouveaux systèmes afin d’accomplir son mystérieux dessein. »

Les experts de Kaspersky Lab mènent à l’heure actuelle une analyse plus approfondie de Flame. Dans les jours à venir, une série de billets de blog fournira davantage de détails sur la nouvelle menace. Pour ce que l’on en sait, elle se compose de divers modules représentant au total plusieurs mégaoctets de code exécutable, soit une envergure environ 20 fois supérieure à celle de Stuxnet. L’analyse de cette cyberarme va par conséquent mobiliser une importante équipe d’experts chevronnés de la sécurité et de spécialistes de la rétro-ingénierie, s’appuyant sur une vaste expérience de la cyberdéfense.

L’UIT utilisera le réseau UIT-IMPACT, regroupant 142 pays et plusieurs acteurs du secteur, dont Kaspersky Lab, pour alerter les gouvernements et la communauté technique au sujet de cette cybermenace et en accélérer l’analyse technique.