Ce qui était dans l'air se confirme : le président américain Barack Obama a ordonné les cyberattaques avec le malware Stuxnet contre l'Iran pour ralentir le développement du programme nucléaire du pays, selon un article publié dans The New York Times. Le journal, citant des sources anonymes, a rapporté que, dans les premiers jours de sa présidence, M. Obama a accéléré le projet connu sous le nom de code Olympic Games et initié par l'administration de George W. Bush. Le ver Stuxnet, depuis longtemps officieusement attribué à Israël ou aux Etats-Unis, a frappé les ordinateurs iraniens à la mi-2010 avant de se disséminer à travers l'Internet. Le président Obama a envisagé de stopper les cyber-attaques après que Stuxnet ait commencé à compromettre d'autres ordinateurs, mais, selon le NY Times, il a décidé de poursuivre le programme. Le malware est issu d'un effort conjoint des Etats-Unis et d'Israël pour cibler le programme nucléaire iranien, écrit le Times. Le journal a interviewé des responsables américains, israéliens et européens, encore en activité actuellement et impliqués dans ce programme de cyber-attaque, précise-t-il. Le président Obama avait exprimé ses préoccupations au sujet du programme Stuxnet qui auraient pu inciter des pays et des cyber-terroristes à utiliser des attaques similaires, mais avait finalement conclu que les Etats-Unis n'avaient pas d'autres options disponibles contre l'Iran, d'après l'article du Times. Le programme Stunext/Olympic Games aurait été développé par la NSA (National Security Agency) américaine et une cyber-unité secrète israélienne selon le journal. Stuxnet a été découvert en juillet 2010, lorsqu'une entreprise de sécurité basée en Biélorussie a détecté le ver sur des ordinateurs appartenant à un client iranien. À l'époque, les experts en sécurité avaient déjà conclu que le ver, particulièrement sophistiqué, avait probablement été développé par un Etat-nation, et conçu pour détruire quelque chose d'important, comme le réacteur nucléaire de Bushehr en Iran. Les experts en sécurité qui ont examiné le ver dans un environnement de tests avaient précisé qu'il avait été créé pour rechercher les machines pilotées par le système Scada de Siemens - probablement les centrifugeuses - et injecter son propre code dans le dispositif de contrôleur logique programmable (PLC). Selon une enquête approfondie menée par Alexander Gotsev et Igor Soumenko, chercheurs chez Kaspersky Lab, le ver Stuxnet a été développé à partir d'une plateforme utilisée dès 2007 pour créer une famille de malwares spécialisés, véritables armes destinées à mener des cyberattaques. Selon eux, c'est aussi le cas du ver Duqu récemment découvert. Dans leur analyse, les chercheurs de Kaspersky détaillent les preuves montrant que les deux morceaux de logiciels malveillants ont été créés à partir d'un même noyau. Les éléments mis en avant pour démontrer le lien entre Stuxnet et Duqu semblent irréfutables. Ils avaient d'ailleurs été en partie déjà évoqués par l'entreprise de sécurité. Les deux vers sortiraient donc du même moule : les programmes présentent notamment des portions de code réparties de façon identique et exerçant des fonctions similaires. De plus, alors qu'ils analysaient le fichier d'un pilote découvert récemment sur un PC d'origine chinoise infecté par le malware Duqu, les chercheurs se sont rendus compte que ce pilote avait tout l'air d'être une version modifiée d'un fichier de pilote utilisé par Stuxnet. La version modifiée utilisait le même certificat et affichait les mêmes date et heure de signature. Ce qui, pour les chercheurs, corrobore le fait que les deux morceaux de logiciels malveillants partagent probablement des origines communes. Conclusion de ces experts : les vers Stuxnet et Duqu ne seraient que les deux premiers rejetons d'un gisement de logiciels malveillants. Un gisement qui vient de dévoiler une nouvelle de ses facettes, du nom de Flame, redoutable arsenal d'espion capable de servir pour suivre, épier et attaquer. La firme dirigée par M. Kaspersky, un des plus importants éditeurs au monde de logiciels anti-virus, a affirmé que les experts qui travaillent pour lui ont découvert l'existence de « Flame » lors d'une enquête menée à la demande de l'Union internationale des télécommunications. L'Iran était apparemment la cible principale de l'attaque qui a été détectée un mois après que l'Iran eut annoncé avoir bloqué la propagation d'un virus qui s'attaquait à des ordinateurs utilisés dans le secteur pétrolier. Selon la firme russe, le nouveau virus « est 20 fois plus virulent que Stuxnet », un virus dont l'existence a été découverte en juin 2010 et qui avait été utilisé contre des installations nucléaires iraniennes. Israël avait été soupçonné d'en être à l'origine. Parmi les modules le composant, les experts évoquent : « Beetlejuice » qui permet, par exemple, à Flame d'utiliser le Bluetooth pour faire un repérage des appareils présents autour de la machine infectée. Un autre, « Microbe » offre la possibilité d'enregistrer des sons à partir du micro. Quant à « Limbo », il crée de nouveaux comptes masqués sur les machines présentes sur le même réseau que le PC infecté, pour les contaminer ensuite grâce à un autre module : « Frog ». Le spectre des données collectées est impressionnant. Symantec, autre éditeur de solutions informatiques, en a dressé une liste proprement incroyable... D'après ses informations, l'espion est capable de récupérer à peu près tout ce qui se trouve sur la machine, des données système aux flux réseau, en passant par les mots de passe et les fichiers qui y sont stockés ! Flame est notamment beaucoup plus gros que Duqu et Stuxnet, qui pèsent environ 500 Ko chacun, une taille déjà considérée comme importante par les experts en sécurité. « Prise dans son ensemble, la taille de toutes les composantes de Flame atteint plus de 20 Mo, dont un fichier particulier qui pèse plus de 6 Mo à lui tout seul », a déclaré Vitaly Kamluk. Autre aspect intéressant concernant la menace, c'est que certaines parties de Flame ont été écrites en LUA, un langage de programmation très rarement utilisé pour le développement de logiciels malveillants et que l'on rencontre plutôt dans l'industrie du jeu vidéo. « C'est la première fois que chez Kaspersky Lab nous tombons sur des échantillons de logiciels malveillants écrits dans ce langage », a déclaré l'expert en malware. Flame se propage d'un ordinateur à l'autre en s'autocopiant sur des périphériques USB portables. Il exploitait également une vulnérabilité dans la fonction imprimante de Microsoft Windows aujourd'hui corrigée qui avait été aussi mise à profit par Stuxnet Autre preuve de l'intelligence, de l'ingéniosité des développeurs de Flame : sa capacité à se propager, à la demande de ses maîtres, de nombreuses manières. Deux autres modules, que Kaspersky nomme « Gadget » et « Munch » profitent notamment d'une technique particulièrement maline pour répandre discrètement le kit d'espionnage sur différents PC d'un même réseau local. Et pas grand-chose ne peut lui résister, pas même un PC « patché » avec les derniers correctifs. Selon l'Iranian Computer Emergency Response Team (MAHER), le nouveau morceau de malware baptisé Flame pourrait être à l'origine de récents incidents constatés en Iran, ayant eu pour conséquence la perte de données informatiques. « Il y a aussi lieu de penser que ce malware est lié à Stuxnet et Duqu, deux vecteurs d'attaques utilisés dans des actions de cyberespionnage » a déclaré MAHER. Les experts en sécurité informatique qui ne quittent pas de l'œil l'évolution de ce nouveau virus ne sont pas loin de considérer que le suicide est inscrit dans ses gênes algorithmiques. Ils viennent d'annoncer en effet la découverte d'un nouveau fichier dénommé browse32.ocx, qui lui permettrait de réécrire puis de détruire toutes les données avant son éradication définitive des ordinateurs infectés. Il ne crée aucun dégât et ne laisse aucune trace. Il semble que les créateurs du virus Flame savaient qu'ils allaient être sur le point d'être démasqués et ont programmé cette mise à jour suicide, communiquée via des serveurs relationnés à la fonction Windows Update. Tout ceci est à regarder dans un contexte marqué notamment par de récentes déclarations de responsables militaires américains convaincus de leur bon droit d'user de l'arme informatique pour défendre les intérêts de la nation de l'Oncle Sam. Les services secrets américains ont mené une cyberattaque réussie contre les sites internet du réseau terroriste Al-Qaïda au Yémen, a annoncé fin mai dernier, la secrétaire d'Etat américaine Hillary Clinton. « Les experts du département d'Etat pour la cybersécurité ont pénétré les sites de propagande d'Al-Qaïda au Yémen », a indiqué Mme Clinton lors d'un déjeuner organisé à l'occasion de la « semaine des services secrets » américaine. Il s'agit de la première annonce publique portant sur une opération spéciale de ce type faite par un responsable américain de haut niveau. Les services secrets américains ont réussi à supprimer les appels à tuer les Américains et des fichiers multimédia montrant les attaques terroristes contre les civils du Yémen. L'attaque a été effectuée par les employés du département d'Etat « chargés de surveiller Internet et les réseaux sociaux dans le cadre du programme d'enrôlement de nouveaux membres par Al-Qaïda », a précisé Mme Clinton. « Cela fait partie d'une opération complexe de lutte contre le terrorisme (...). Les Etats-Unis iront plus loin que l'élimination d'Oussama Ben Laden », a ajouté la secrétaire d'Etat. Juste un mois auparavant, ce fut au directeur du renseignement pour le cybercommandement américain, le contre-amiral Samuel Cox de rappeler que « les Etats-Unis pourraient avoir recours à des cyberattaques visant des infrastructures ennemies » « C'est possible, (...) si l'opération est approuvée au plus haut niveau gouvernemental », a-t-il déclaré lors d'une conférence sur la cybersécurité tenue à Arlington, près de Washington. Les Etats-Unis avaient déclaré par le passé que les réseaux et les ordinateurs des institutions gouvernementales aussi bien que ceux des compagnies privées étaient régulièrement victimes de cyberattaques provenant de l'étranger. Le responsable a par ailleurs assuré que l'infrastructure américaine était suffisamment protégée contre les attaques informatiques provenant de l'extérieur.
