Le logiciel malveillant Flame est analysé par plusieurs équipes. C’est un virus incroyablement complexe… qui réserve déjà quelques surprises, même si tout n’est pas encore compris.
Percer tous les secrets de Flame, ce puissant virus qui fait office de kit d’espionnage, sera un travail de très longue haleine. Mais les experts en sécurité qui procèdent à son analyse ont déjà décortiqué certains de ses principes de fonctionnement. Et ce qu’ils ont découvert corrobore la théorie selon laquelle ce logiciel malveillant serait l’un des plus avancés au monde. Les équipes de Kaspersky et de Symantec révèlent son incroyablement complexité…
Kaspersky, qui a révélé l’existence de Flame, est en pointe sur l’analyse de ce malware. La firme de sécurité russe détaille sur son blog l’avancement de ses recherches et fournit déjà quelques éléments.
À commencer par le fichier principal de Flame, MSSECMGR.OCX, dont une des versions découvertes pèse pas moins de 6 Mo ! Sa taille se justifie parce que ce fichier abrite différents modules, pour certains très complexes, qui permettent à Flame d’espionner, de se répandre ou de communiquer avec ses mystérieux maîtres. Kaspersky n’a pas encore tout compris, mais révèle certains résultats.
Par exemple « Beetlejuice » permet à Flame d’utiliser le Bluetooth pour faire un repérage des appareils présents autour de la machine infectée. « Microbe » offre la possibilité d’enregistrer des sons à partir du micro, alors que « Limbo » crée de nouveaux comptes masqués sur les machines présentes sur le même réseau que le PC infecté afin de les contaminer ensuite grâce à un autre module : « Frog ».
Les données collectées sont impressionnantes. Selon Symantec, Flame est capable de récupérer à peu près tout ce qui se trouve sur la machine, des données système aux flux réseau, en passant par les mots de passe et les fichiers qui y sont stockés.
Kaspersky a par ailleurs a également trouvé pas moins de 80 noms de domaines liés à l’infrastructure. Des noms évidemment enregistrés sous de fausses identités « en Allemagne et en Autriche, notamment à Vienne ». Il est par ailleurs intéressant de noter que les premiers noms de domaine liés à Flame ont été enregistrés dès 2008, ce qui prouverait que la cyberarme est en fonction depuis bien longtemps.
Pour ce qui est des machines infectées, elles se situent essentiellement au Moyen-Orient. Quelques-unes sont aussi aux États-Unis et quelques-unes en Europe… mais aucune en France, pour le moment.