Flame

En mai 2012, le CERT national iranien, Kaspersky et le CrySyS Lab révèlent simultanément la découverte d’un malware comme aucun n’en avait été catalogué auparavant : une plateforme d’espionnage tentaculaire et modulaire que les chercheurs nomment Flame. Le code pèse environ vingt mégaoctets — des ordres de grandeur au-dessus des implants ciblés typiques — et embarque des fonctions d’enregistrement audio depuis les microphones, de reniflage Bluetooth, de capture d’écran, de keylogging et d’exfiltration de documents.

Une signature Microsoft forgée

Le détail technique le plus frappant de Flame est sa méthode de propagation. Le malware pouvait se déguiser en mise à jour Windows légitime en forgeant un certificat de signature de code Microsoft valide. La forgerie exploitait une faiblesse cryptographique — une attaque par collision à préfixe choisi sur la fonction de hachage MD5 — pour fabriquer un certificat que Windows acceptait comme s’il avait été émis par Microsoft. La collision exigeait un travail cryptographique inédit, du genre associé à des budgets de recherche étatiques.

Microsoft a révoqué les certificats sous-jacents en quelques jours et a poussé une politique de signature de code durcie sur Windows dans les mises à jour suivantes.

Une parente confirmée

Les chercheurs de Kaspersky établissent ensuite une relation de partage de code entre Flame et le Stuxnet antérieur, suggérant une paternité qui se recoupe. Des responsables américains et israéliens, sous le sceau de l’anonymat à des journalistes américains, confirment Flame comme un outil de collecte du renseignement américain visant l’Iran, pendant d’espionnage du sabotage Stuxnet.

Ce que la chronique retient

Flame est le cas qui a prouvé qu’un État pouvait s’offrir le luxe de développer une attaque cryptographique inédite juste pour faire passer un malware pour une mise à jour système ordinaire. Il a aussi rendu clair que Stuxnet avait fait partie d’une famille, et que le reste de la famille tournait déjà.