Un nouveau malware a été signalé par Kaspersky. Nom de code: Flame. S'il retient l'attention c'est pour plusieurs raisons:
- parce que Kaspersky a communiqué dessus
- parce que l'attaque semble viser plus particulièrement l'Iran (même si d'autres pays dans le monde semblent touchés), ce qui oriente les regards vers Israel et les USA (potentiels agresseurs)
- parce qu'un nouveau saut qualitatif semble effectué
- parce que les capacités de programmation semblent hors de portée de simples hackers et que des moyens importants auraient été nécessaires au développement du malware
Nous avions avec Stuxnet les mêmes "ingrédients" (Kaspersky + cible iranienne + gap technologique + supposées capacités étatiques + soupçons portant sur Israel/USA).
Nous avons surtout le problème non résolu de l'attribution.
Flame, diffère toutefois de Stuxnet : ce dernier visait les systèmes SCADA; Flame semble formaté pour le vol d'informations, l'espionnage.
Si les deux malwares étaient issus de la même source et visaient bien la même cible (Iran), nous aurions donc avec Stuxnet et Flame les deux facettes de l'exploitation agressive du cyberespace: déstabiliser/paralyser/détruire des systèmes (Stuxnet) + vol de données (renseignement).
Dans le principe, Flame n'a rien d'innovant: des intrusions, des malwares, sont utilisés depuis des années par des acteurs d'horizons divers pour voler de l'information, espionner, surveiller, intercepter des communications (système Echelon; capacités chinoises de cyberespionnage; etc.) Ce qui doit donc être souligné ce n'est pas le principe, mais la dimension technique (ie. que peut faire le malware?). Sur ce point, les capacités de l'agresseur sont tout aussi intéressantes que celles de la victime. Si l'Iran est la cible, si l'Iran est réellement en mesure de contrer les cyberattaques, si ces agressions sont détectées, bloquées, cela en dit long sur les progrès réalisés par la cyberdéfense iranienne (et donc potentiellement sur ses capacités de cyberattaque?) Peut-être le pays subit-il davantage qu'il ne maîtrise et les déclarations de ses autorités ne sont-elles que du bluf. Les interrogations peuvent donc porter sur la nature du rapport de force: y a-t-il montée en puissance des capacités de deux côtés (agresseurs / cibles); réduction de la dissymétrie; maintien d'un avantage à l'agresseur...?
On peut bien sûr voir dans Stuxnet et Flame des armes nouvelles, des capacités high-tech impressionnantes. Mais impressionnant ne veut pas dire efficace. L'efficacité se mesure à l'aune des résultats obtenus. Or quels effets et objectifs auraient permis d'atteindre les deux outils? En quoi les agresseurs ont-ils pris un avantage? En quoi la cible est-elle véritablement affaiblie?
Les questions sont à ce jour plus nombreuses que les certitudes.