vendredi 10 juillet 2020    || Inscription
BanniereNews
 
 

L’éditeur de sécurité Kaspersky vient de publier ses premières conclusions concernant un malware d’un nouveau genre, décrit comme le plus puissant et le plus complexe jamais identifié.

Nous savons Kaspersky peu avare de superlatifs lorsqu’il s’agit de décrire un malware. Mais la découverte de Flame dépasse tous les commentaires que l’on a pu entendre, y compris pour des virus comme Stuxnet ou Duqu. A l’instar de ses deux prédécesseurs, Flame n’est pas un malware comme les autres et ce pour différentes raisons. Premièrement, il s’agit d’un virus « géopolitique », à savoir qu’il a infiltré massivement des ordinateurs situés dans une zone géographique précise : le moyen-orient avec l’Iran comme destination privilégiée. Ensuite, sa complexité semble défier tout ce qui a été vu jusqu’à présent. D’après l’éditeur russe, il est en service depuis au moins de deux ans, certains indices montrent qu’il pourrait exister depuis cinq ans et sa complexité fait qu’il va falloir des années pour le déchiffrer intégralement.

Alexander Gostef, expert en sécurité au sein de Kaspersky précise d’ailleurs : « il nous a fallu un an et demi pour analyser Stuxnet. Flame est 20 fois plus compliqué et cela va nous prendre 10 ans pour comprendre intégralement ce qu’il est et ce qu’il fait ». Eugene Kaspersky, CEO et cofondateur de Kaspersky Lab, a lui commenté ainsi : « Le risque d’une cyberguerre représente l’une des menaces les plus sérieuses dans le domaine de la sécurité informatique depuis plusieurs années déjà. Stuxnet et Duqu faisaient partie d’une même série d’attaques, qui a fait naître les craintes d’un cyberconflit mondial. Le malware Flame paraît correspondre à une autre phase de cette guerre et il faut avoir conscience que de telles cyberarmes peuvent être facilement dirigées contre n’importe quel pays. A la différence des dispositifs d’armements conventionnels, ce sont les nations les plus développées qui sont en fait les plus vulnérables ».

Un virus multitâches

Kaspersky a découvert ce nouveau malware voici environ deux semaines après que l’Union Internationale des Télécommunications (ITU) lui ait demandé d’enquêter à propos d’un malware qui aurait dérobé ou détruit des informations sur des ordinateurs appartenant au ministère iranien de l’énergie ainsi que dans l’entreprise publique chargée de l’exploitation du pétrole du pays. Au départ, le malware était dénommé Viper ou Wiper.

Flame paraît avoir pour principal objectif le cyberespionnage, par le vol d’informations sur les machines infectées. Ces informations sont ensuite transmises à un réseau de serveurs de commande et de contrôle éparpillés à travers le monde. Il peut s’agir aussi bien de documents, de copies d’écrans, d’enregistrements audio que de trafic intercepté, ce qui fait de ce kit d’outils d’attaque l’un des plus évolués et complets jamais découverts. Le vecteur exact d’infection n’est pas encore déterminé mais il est d’ores et déjà clair que Flame a la possibilité de se répliquer via un réseau local par plusieurs méthodes, parmi lesquelles la même vulnérabilité d’imprimante et méthode d’infection USB exploitée par Stuxnet.

Symantec précise de son côté que le virus (nommé Flamer) « a la capacité de voler des documents, faire des copies-écran des utilisateurs de la machine infectée, de se propager via les disques connectés en USB, de désactiver les solutions des éditeurs de sécurité et, sous certaines conditions, se développer sur d’autres systèmes. Cette menace a également la capacité d’utiliser plusieurs vulnérabilités connues et corrigées de Microsoft Windows pour se propager sur un réseau».

Des informations plus détaillées sont accessibles à cette adresse.




Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Dossier

Droit d’accès et comptes à privilèges

Jacques Cheminat 0 142996
Equifax, Deloitte, Uber, les récentes violations de données ont souvent des techniques de piratages différentes, mais un élément commun, obtenir l’accès à des applications critiques comme les bases de données, les bases clients, les informations bancaires. En général ces programmes sont soumis à habilitation et rattachés à des comptes à privilèges. leur protection est donc une nécessité dans un monde de plus en plus ouvert et insécurisé. Dossier publié avec le concours de Kleverware.
RSS
12



Événements SSI