Sécurité

Flamme : le logiciel malveillant le plus audacieux jamais créé par des génies du cryptage

En mai de cette année, un logiciel malveillant appelé Flame a commencé à se répandre sur les ordinateurs, principalement au Moyen-Orient, dans le but d’infiltrer des organisations iraniennes et autres. Il s’en est suivi deux attitudes audacieuses de la part de ses créateurs. La première est entrée dans l’histoire de la sécurité du web : passer par une mise à jour officielle de Windows. La seconde était une mesure pour la sécurité même de ses créateurs : l’autodestruction des logiciels malveillants.

Mise à jour de Fooling Windows

Fin avril, des logiciels malveillants ont commencé à se répandre avec l’aide de Windows Update, faisant passer des ordinateurs en réseau pour une mise à jour officielle. Pour atteindre ce niveau de distribution avancé, les créateurs de Flame ont créé de faux certificats qui signaient numériquement le code distribué – ce qui est nécessaire pour que la mise à jour soit considérée comme valide par Windows.

Il y est parvenu grâce à un procédé cryptographique que je cite plus bas dans le texte, mais voici ce qui s’est passé de manière simplifiée : un ordinateur infecté sur le réseau local a prétendu être le serveur de mise à jour lorsque d’autres ont essayé de rechercher la mise à jour sur le web, a redirigé le trafic vers lui-même, puis a envoyé un fichier contenant le malware sous la forme d’une mise à jour.

  Google paie jusqu'à 38 000 dollars pour trouver les pannes d'Android

Ce n’est que le dimanche 3 que Microsoft a publié la première mise à jour révoquant l’autorité de certification utilisée par Flame et rendant invalides les certificats émis par celle-ci.

Et ce n’est pas comme si ce petit défaut était inconnu. Selon l’analyse du blog SecureList, l’un des modules utilisés pour diffuser la mise à jour malveillante a été compilé en décembre 2010 et installé en janvier 2011. Quelqu’un savait donc déjà qu’il était possible de contourner la mise à jour officielle de Microsoft, mais ce n’est que maintenant qu’il s’y risque. Et ils ont été victorieux, du moins dans les jours qui ont précédé la révocation des certificats par Microsoft.

Toujours selon Microsoft, la plupart des attaques étaient “hautement ciblées”, c’est-à-dire qu’elles avaient une cible spécifique – les ordinateurs au Moyen-Orient. C’est pourquoi, selon la société, “la grande majorité de ses utilisateurs ne courent aucun risque.

Autodestruction intégrée

Peu de temps après cette audacieuse démarche, Flame a fini par prendre un chemin contraire à celui qu’il semblait viser. La société de sécurité Symantec, qui a analysé de près le code du malware, a réalisé que les serveurs de commande (contrôlés par les créateurs de Flame) envoyaient un nouveau fichier. Ce fichier, appelé browse32.ocx, avait pour fonction de “désinstaller” tous les logiciels malveillants, en effaçant toute trace de ceux-ci sur l’ordinateur.

  Microsoft Edge ne s'ouvre pas ? 4 conseils pour récupérer le navigateur

Ce qui est étrange, c’est que Flame avait déjà une commande appelée SUICIDE, dont l’action est autodescriptive, intégrée dans un de ses modules. Mais l’analyse de Symantec a révélé que si la commande intégrée ne supprimait que les fichiers utilisés par les logiciels malveillants, le nouveau fichier non seulement effaçait complètement la Flamme entière, mais écrasait aussi les zones du disque où se trouvaient les fichiers avec de nouvelles données aléatoires.

Cette attitude, selon l’entreprise, rend difficile l’analyse du code du malware et son éventuel suivi. En effet, un fichier supprimé dans Windows ne voit en fait que son index supprimé, il reste sur le disque dur jusqu’à la zone où il a été écrasé par de nouvelles données. Et c’est ce que le nouveau dossier a fait.

Créé par des génies

Une analyse plus approfondie du code de la Flamme, effectuée cette fois par des experts en cryptographie, a révélé qu’il a également été créé par pas moins que de brillants esprits. Pour passer par une véritable mise à jour de Windows, les logiciels malveillants doivent faire quelque chose appelé “collision de hachage” dans le MD5, ce qui est extrêmement compliqué à expliquer dans un seul article mais qui est détaillé dans l’article de Wikipedia sur le MD5 et dans ce billet du blog de Microsoft TechNet.

  Le site officiel de MySQL à nouveau piraté

Il y avait des techniques de collision de hachage MD5 dans le passé, plus précisément en 2005, qui étaient utilisées pour créer des serveurs d’authentification pour les certificats auparavant. Mais selon les cryptographes de renom Marc Stevens et B.M.M. de Wegerm, la technique utilisée dans Flame est complètement nouvelle et “est quelque chose qui n’a jamais été vu auparavant”. En fait, il ne s’agit même pas d’un ensemble de techniques anciennes, il y a des mathématiciens derrière cette technique créée pour que la Flamme fonctionne.

La théorie la plus solide, par conséquent, est que les personnes derrière cette attaque sont parrainées ou impliquées dans une agence gouvernementale. Et ce ne serait pas la première fois : Stuxnet, qui viserait également l’Iran, a été développé et déployé par le gouvernement américain.

Il semble que la publicité que Flame a gagnée ait suscité une peur inattendue chez ses créateurs qui ont renoncé à continuer à diffuser leur création sur Internet. Ou bien ils ont déjà ce qu’ils cherchent, alors ils sont faits. Quelles sont les chances ? Nous ne le savons pas encore. Et bien que l’histoire de Flame soit loin d’être terminée, il est déjà possible de dire qu’il est entré dans les pages de l’histoire – quelle que soit son origine.

A propos de l'auteur

Bernard

Actuellement responsable informatique dans une PME, je bosse dans le domaine depuis une vingtaine d'année maintenant. Fan inconditionnel de DBZ, et de la triologie Die Hard. #teamWindows sur Perlmol !

Laisser un commentaire