Virus Flame : comment Kaspersky joue avec les peurs pour occuper le terrain médiatique

Après Stuxnet, Duqu et Wiper, voici un nouveau code malveillant – Flame – révélé par Kaspersky via un buzz médiatique dont seule cette firme a le secret. Et d’être suivie par d’autres sociétés éditrices d’antivirus comme Symantec – pour ne pas être en reste--, coutumières de buzz aussi débiles que malvenus.

A défaut d’être capables de détecter des virus et infections informatiques banales, ces sociétés et en premier lieu Kaspersky– comme l’ont montré encore une fois les démonstrations basiques faites lors de la 217ème conférence EICAR à Lisbonne début mai – cherchent à occuper le devant de la scène médiatique par des déclarations tonitruantes mêlant fin du monde informatique et spectre d’une guerre informatique totale. Mais cette fois la firme russe a probablement été trop loin et cette annonce contient un nombre inouï de faits contradictoires, d’incohérences techniques qui obligent, lorsque l’on travaille dans ce domaine à fortement mettre en doute la réalité de Flame, du moins telle qu’elle est présentée.

Ce buzz est non seulement invérifiable – les éditeurs refusent systématiquement de communiquer les codes qu’ils détectent à des instances nationales ou transnationales, à des fins de vérification indépendante – mais ils jouent surtout sur un flou qui rend toute vérification impossible. Pire, ils exploitent le fait que tout le monde a intérêt à ce que ces codes existent : les éditeurs exploitant ce que feu Pascal Lointier appelait le marketing de la peur pour faire exister et vendre leurs produits, le proche et moyen orient, zone d’action prétendue de Flame, est d’ailleurs un marché encore relativement vierge pour ces éditeurs -- , les médias pour qui ce buzz est providentiel, les États qui peuvent ainsi agiter le spectre futur d’une guerre informatique et donc voter des crédits pour s’y préparer et enfin des pays comme l’Iran à qui ce type de buzz sert sur un plateau doré des motifs de cristalliser auprès de sa population la haine de l’occident et ainsi avaliser ses velléités d’isolation de sa population pour mieux la contrôler.

Soit disant ciblées – ce qui dans le contexte de Kaspersky est une aberration opérationnelle (voir plus loin) – et dans une zone dans laquelle on comprend facilement que toute analyse forensics est quasi-impossible. La manipulation médiatique joue sur du velours.

Enfin, les techniques prétendues de Flame ne sont pas exceptionnelles – elles existent depuis près de 30 ans. Et pour un code datant de huit ans – il y a 8 ans nous sortions à peine de Windows 98  --, une taille de plusieurs Mo ne peut être le fait que d’un programmeur du dimanche.  Pour ceux qui ont étudié des codes malveillants sophistiqués, il est possible de faire puissant en quelques centaines de kilo-octets.  Mes étudiants et chercheurs au laboratoire font depuis longtemps ce que prétend faire Flame et ce en quelques dizaines de kilo-octets.

Maintenant que penser de l’évolution des codes malveillants – terme à préférer a celui de virus qui, selon la classification de Adleman, ne décrit que les codes capables de s’auto-dupliquer – et de leur utilisation dans un contexte de cyber attaques. Ce potentiel a été identifié très tôt : dès la fin des années 50, l’US Air Force a travaillé sur ce sujet. Il ne faut pas oublier que l’un des pères de la virologie informatique – John von Neumann – a été impliqué dans la plupart des projets sensibles de l’armée américaine et de la Nasa.

Dès 1980, le gouvernement allemand et le fameux projet Rahab a compris le potentiel offensif des programmes malveillants. Plus récemment, des projets étatiques comme Magic Lantern (USA, 2001), la loi LOPPSI 2 en France, mais aussi en Angleterre, en Suisse, Autriche, Allemagne (Bundes trojan découvert en 2011 par les membres du CCC),en Australie… la quasi-totalité des pays du G-20 ont compris le potentiel formidable des virus et autres codes malveillants. Le risque et la menaces sont donc bien réels. Mais ce qu’oublient les éditeurs d’antivirus, c’est qu’un code malveillant, aussi sophistiqué soit-il, ne fait pas une attaque.

C’est surtout la démarche opérationnelle, la pensée tactique qui définit tout et préside finalement à la conception du code d’attaque. Et à ce titre, Flame ne correspond pas vraiment à la démarche opérationnelle requise. Une attaque doit être ciblée et à ce titre ses principales caractéristiques doivent être les suivantes :

• Un code une cible. Ne jamais utiliser deux fois le même code, même sous une variante. C’est d’ailleurs une hérésie de penser que cela soit possible car plus que la cible c’est son environnement (utilisateurs inclus) qui compte. Il faut prendre en compte les réactions de cette cible et prévoir divers scenarios. De ce point de vue c’est surtout la phase de renseignement puis de planification qui va dicter la nature réelle du code.
• La conduite de la manœuvre requiert une part non négligeable d’opérateurs humains en soutien de l’action du code.
• L’attaque doit être invisible et doit le rester. L’auteur de l’attaque ne doit jamais être identifié. Ne jamais donner la possibilité à la cible de savoir qu’elle a été attaquée et de comprendre ce qui s’est passé.  Cette invisibilité passe par une taille aussi réduite que possible du code malveillant. Cela nécessite également un certain mimétisme pour que le code soit le moins distinguable de l’activité normale du système. Beaucoup de codes se sont fait détecter par des effets de bord, par exemple une communication trop importante vers l’extérieur pour faire sortir des données (cas de l’espionnage de la chancellerie allemande en 2007).  Enfin, en cas de nécessité, le code doit pouvoir prévenir sa propre détection et gommer ses traces, empêcher son analyse voire disparaitre totalement en cas de besoin.
• L’attaque doit être limitée dans le temps. De ce point de vue, une attaque ciblée est souvent similaire à une attaque commando. On frappe et on s’exfiltre quitte à laisser des précurseurs pour une nouvelle frappe (codes dormants par exemple). Une règle pragmatique de base veut que le risque de détection augmente exponentiellement avec le temps, le nombre d’utilisateurs, le nombre d’évènements système dans un ordinateur.

Ces quelques règles de base montrent que dans le cas de Flame – sans le code à analyser, nous devons nous contenter des affirmations des éditeurs -- nous sommes très loin de ce que font les codes malveillants utilises à des fins d’actions de police ou militaires. Des attaques récentes en France et en Europe ont montré toute la réalité des attaques ciblées. Fort heureusement, elles n’ont pas été autant et aussi stupidement médiatisée que Flame.

Au final, l’annonce de Kaspersky et d’autres éditeurs– qui vient seulement maintenant  de détecter Flame,  après huit ans d’existence – est assez surprenante : soit le Proche et Moyen Orient ne sont pas équipés de Kaspersky et des produits similaires, et ce coup médiatique devient compréhensible. Ou bien, ces produits antivirus, sensés détecter «  les codes malveillants inconnus avant qu’ils ne frappent votre PC »  ne sont pas les rolls de détection que tests après tests les medias voudraient nous vendre. Mais cela Fred Cohen l’a démontré en 1986.

La conclusion est que le domaine de la sécurité ne doit plus être le terrain de jeu des seules sociétés éditrices de logiciels de sécurité. Il faut arrêter de terroriser les utilisateurs et les décideurs pour revenir à une réalité certes préoccupante mais néanmoins très éloignée des feux hollywoodiens de Kaspersky. Il serait bienvenu que l’Europe et les différents CERT nationaux deviennent des instances de contrôles et de vérification des menaces. Paraphrasant,  la phrase célèbre de Georges Clemenceau, la sécurité informatique est devenue chose trop sérieuse pour la confier aux éditeurs de logiciels de sécurité.  Finalement le cas Flame nous rappelle avec force un autre cas de manipulation par les éditeurs : celui de l’affaire du virus Michelangelo, en 1991. Le lecteur pourra lire l’excellente analyse faite par George C. Smith dans son admirable livre « The Virus creation lab – A journey into the underground ».