En direct
Best of
Best of du 19 au 25 septembre
En direct
Articles populaires
Période :
24 heures
7 jours
01.

Yannick Noah se fait plaquer; Julien Doré réfléchit à l'adoption d'un enfant avec Francis Cabrel, Jean Dujardin & Nathalie Péchalat en attendent un 2éme: Kanye West pense être le Moïse du peuple noir, Carla Bruni que Nicolas S. écrit comme Balzac

02.

Emmanuel Macron s’est souvenu qu’il avait une mère et un père

03.

Un rapport officiel allemand souligne que l’agriculture biologique n’est absolument pas plus durable que l’agriculture conventionnelle

04.

Un militant communiste assassiné à Saint-Ouen *

05.

Attaque près des anciens locaux de Charlie Hebdo : un suspect au profil très atypique

06.

Lutte contre la montée de l’extrême-droite : pourquoi l'Allemagne multiplie les gesticulations sans se poser les bonnes questions

07.

"Olivier véreux de mes c***lles" : Jean-Marie Bigard insulte le ministre de la Santé

01.

Un rapport officiel allemand souligne que l’agriculture biologique n’est absolument pas plus durable que l’agriculture conventionnelle

02.

Un militant communiste assassiné à Saint-Ouen *

03.

Comment les industries pétrolières nous ont fait croire que le plastique serait recyclé

04.

Séparatisme : LREM pris dans les phares de la voiture de l’islam politique

05.

Journée mondiale d’Alzheimer : comment nos rythmes de sommeil peuvent prédire le moment de l'apparition de la maladie

06.

Ce que la dernière photo prise par la NASA nous révèle de Jupiter

01.

Névrose collective : l’Europe pétrifiée face à la crise des migrants qui se noue à ses portes

02.

"L'islam est la religion avec laquelle la République a eu le moins de problèmes dans l'Histoire". Là, Darmanin en fait un peu trop

03.

Édouard Philippe ou le vrai-faux espoir de la droite : radioscopie d’un malentendu idéologique

04.

Nouvelles mesures face au Covid-19 : Gribouille gouvernemental à la barre

05.

J’aime les sapins de Noël : je suis un facho

06.

Sauver la Seine-Saint-Denis, mission impossible ? Non... mais l’Etat n’est pas le "héros" qu’il pense être

ça vient d'être publié
pépites > International
Jeter l'éponge
Liban : le Premier ministre désigné renonce à former un gouvernement et démissionne
il y a 2 heures 33 min
pépite vidéo > Insolite
Les joies du télétravail
Argentine : un député embrasse le sein nu de sa femme en pleine visioconférence
il y a 3 heures 13 min
pépite vidéo > International
Tragédie
26 morts dans le crash d’un avion militaire en Ukraine
il y a 4 heures 39 min
pépites > Politique
Polémique
Eric Zemmour condamné pour injure et provocation à la haine
il y a 5 heures 33 min
décryptage > Culture
Atlanti-Culture

"Une bête aux aguets" : un roman dément et addictif

il y a 6 heures 50 min
décryptage > Europe
Crier au loup

Lutte contre la montée de l’extrême-droite : pourquoi l'Allemagne multiplie les gesticulations sans se poser les bonnes questions

il y a 10 heures 26 min
décryptage > Santé
Bonnes feuilles

Les aidants, ces acteurs clés du quotidien auprès des plus fragiles face à l'explosion de la dépendance

il y a 10 heures 37 min
décryptage > Politique
Bonnes feuilles

OPA sur la droite : le pari risqué de Marion Maréchal

il y a 10 heures 37 min
décryptage > International
Accord global

Derrière aujourd'hui, il y a demain (Proverbe Libyen)

il y a 10 heures 39 min
décryptage > Société
Urgence

10 000 morts dans les Ehpad dans une quasi indifférence générale : voilà pourquoi les racines de notre manque d'empathie envers les seniors sont profondes

il y a 10 heures 40 min
pépites > France
Enquête
Attaque à Paris : le suspect "assume son acte" et pensait attaquer Charlie Hebdo
il y a 3 heures 1 min
pépite vidéo > Politique
Pathétique
"Olivier véreux de mes c***lles" : Jean-Marie Bigard insulte le ministre de la Santé
il y a 4 heures 24 min
light > Culture
Figure de la droite
L'écrivain et polémiste Denis Tillinac est décédé
il y a 5 heures 2 min
décryptage > Culture
Atlanti-Culture

"Les 100 plus belles planches de la bande dessinée" : La BD est un art qui vaut le détour !

il y a 6 heures 43 min
décryptage > Terrorisme
Menace diffuse

Attaque près des anciens locaux de Charlie Hebdo : un suspect au profil très atypique

il y a 9 heures 5 min
décryptage > Société
Et Dieu (Jupiter) créa l’homme

Emmanuel Macron s’est souvenu qu’il avait une mère et un père

il y a 10 heures 34 min
décryptage > Politique
Bonnes feuilles

Comment le chef de l'Etat Emmanuel Macron a jonglé avec les libertés fondamentales lors de son quinquennat

il y a 10 heures 37 min
décryptage > International
Influence des activités humaines

Incendies en Californie : ce dérèglement climatique qui a décidément bon dos...

il y a 10 heures 37 min
décryptage > International
Urgence énergétique

Liban : aussi une urgence énergétique géopolitique

il y a 10 heures 39 min
décryptage > Environnement
Rendement

Un rapport officiel allemand souligne que l’agriculture biologique n’est absolument pas plus durable que l’agriculture conventionnelle

il y a 10 heures 40 min
Capitaine Flame

Virus Flame : comment Kaspersky joue avec les peurs pour occuper le terrain médiatique

Publié le 30 mai 2012
L'éditeur d'antivirus Kaspersky a annoncé avoir découvert Flame, un violent virus informatique de cyber-espionnage. La menace serait toutefois à nuancer : cette annonce pourrait chercher avant tout à gonfler les commandes de l'éditeur afin de renflouer un peu ses caisses.
Eric Filiol
Suivre
Vous devez être abonné pour suivre un auteur.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Eric Filiol est un expert en sécurité informatique spécialisé dans la cryptologie symétique et dans la cryptanalyse. Il s'occupe aussi de la virologie informatique opérationnelle. Il a été retraité de l'Armée de terre française.Il a publié en 2009 Les...
Voir la bio
Ajouter au classeur
Vous devez être abonné pour ajouter un article à votre classeur.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Lecture Zen
Vous devez être abonné pour voir un article en lecture zen.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
L'éditeur d'antivirus Kaspersky a annoncé avoir découvert Flame, un violent virus informatique de cyber-espionnage. La menace serait toutefois à nuancer : cette annonce pourrait chercher avant tout à gonfler les commandes de l'éditeur afin de renflouer un peu ses caisses.

Après Stuxnet, Duqu et Wiper, voici un nouveau code malveillant – Flame – révélé par Kaspersky via un buzz médiatique dont seule cette firme a le secret. Et d’être suivie par d’autres sociétés éditrices d’antivirus comme Symantec – pour ne pas être en reste--, coutumières de buzz aussi débiles que malvenus.

A défaut d’être capables de détecter des virus et infections informatiques banales, ces sociétés et en premier lieu Kaspersky– comme l’ont montré encore une fois les démonstrations basiques faites lors de la 217ème conférence EICAR à Lisbonne début mai – cherchent à occuper le devant de la scène médiatique par des déclarations tonitruantes mêlant fin du monde informatique et spectre d’une guerre informatique totale. Mais cette fois la firme russe a probablement été trop loin et cette annonce contient un nombre inouï de faits contradictoires, d’incohérences techniques qui obligent, lorsque l’on travaille dans ce domaine à fortement mettre en doute la réalité de Flame, du moins telle qu’elle est présentée.

Ce buzz est non seulement invérifiable – les éditeurs refusent systématiquement de communiquer les codes qu’ils détectent à des instances nationales ou transnationales, à des fins de vérification indépendante – mais ils jouent surtout sur un flou qui rend toute vérification impossible. Pire, ils exploitent le fait que tout le monde a intérêt à ce que ces codes existent : les éditeurs exploitant ce que feu Pascal Lointier appelait le marketing de la peur pour faire exister et vendre leurs produits, le proche et moyen orient, zone d’action prétendue de Flame, est d’ailleurs un marché encore relativement vierge pour ces éditeurs -- , les médias pour qui ce buzz est providentiel, les États qui peuvent ainsi agiter le spectre futur d’une guerre informatique et donc voter des crédits pour s’y préparer et enfin des pays comme l’Iran à qui ce type de buzz sert sur un plateau doré des motifs de cristalliser auprès de sa population la haine de l’occident et ainsi avaliser ses velléités d’isolation de sa population pour mieux la contrôler.

Soit disant ciblées – ce qui dans le contexte de Kaspersky est une aberration opérationnelle (voir plus loin) – et dans une zone dans laquelle on comprend facilement que toute analyse forensics est quasi-impossible. La manipulation médiatique joue sur du velours.

Enfin, les techniques prétendues de Flame ne sont pas exceptionnelles – elles existent depuis près de 30 ans. Et pour un code datant de huit ans – il y a 8 ans nous sortions à peine de Windows 98  --, une taille de plusieurs Mo ne peut être le fait que d’un programmeur du dimanche.  Pour ceux qui ont étudié des codes malveillants sophistiqués, il est possible de faire puissant en quelques centaines de kilo-octets.  Mes étudiants et chercheurs au laboratoire font depuis longtemps ce que prétend faire Flame et ce en quelques dizaines de kilo-octets.

Maintenant que penser de l’évolution des codes malveillants – terme à préférer a celui de virus qui, selon la classification de Adleman, ne décrit que les codes capables de s’auto-dupliquer – et de leur utilisation dans un contexte de cyber attaques. Ce potentiel a été identifié très tôt : dès la fin des années 50, l’US Air Force a travaillé sur ce sujet. Il ne faut pas oublier que l’un des pères de la virologie informatique – John von Neumann – a été impliqué dans la plupart des projets sensibles de l’armée américaine et de la Nasa.

Dès 1980, le gouvernement allemand et le fameux projet Rahab a compris le potentiel offensif des programmes malveillants. Plus récemment, des projets étatiques comme Magic Lantern (USA, 2001), la loi LOPPSI 2 en France, mais aussi en Angleterre, en Suisse, Autriche, Allemagne (Bundes trojan découvert en 2011 par les membres du CCC),en Australie… la quasi-totalité des pays du G-20 ont compris le potentiel formidable des virus et autres codes malveillants. Le risque et la menaces sont donc bien réels. Mais ce qu’oublient les éditeurs d’antivirus, c’est qu’un code malveillant, aussi sophistiqué soit-il, ne fait pas une attaque.

C’est surtout la démarche opérationnelle, la pensée tactique qui définit tout et préside finalement à la conception du code d’attaque. Et à ce titre, Flame ne correspond pas vraiment à la démarche opérationnelle requise. Une attaque doit être ciblée et à ce titre ses principales caractéristiques doivent être les suivantes :

  • Un code une cible. Ne jamais utiliser deux fois le même code, même sous une variante. C’est d’ailleurs une hérésie de penser que cela soit possible car plus que la cible c’est son environnement (utilisateurs inclus) qui compte. Il faut prendre en compte les réactions de cette cible et prévoir divers scenarios. De ce point de vue c’est surtout la phase de renseignement puis de planification qui va dicter la nature réelle du code.
  • La conduite de la manœuvre requiert une part non négligeable d’opérateurs humains en soutien de l’action du code.
  • L’attaque doit être invisible et doit le rester. L’auteur de l’attaque ne doit jamais être identifié. Ne jamais donner la possibilité à la cible de savoir qu’elle a été attaquée et de comprendre ce qui s’est passé.  Cette invisibilité passe par une taille aussi réduite que possible du code malveillant. Cela nécessite également un certain mimétisme pour que le code soit le moins distinguable de l’activité normale du système. Beaucoup de codes se sont fait détecter par des effets de bord, par exemple une communication trop importante vers l’extérieur pour faire sortir des données (cas de l’espionnage de la chancellerie allemande en 2007).  Enfin, en cas de nécessité, le code doit pouvoir prévenir sa propre détection et gommer ses traces, empêcher son analyse voire disparaitre totalement en cas de besoin.
  • L’attaque doit être limitée dans le temps. De ce point de vue, une attaque ciblée est souvent similaire à une attaque commando. On frappe et on s’exfiltre quitte à laisser des précurseurs pour une nouvelle frappe (codes dormants par exemple). Une règle pragmatique de base veut que le risque de détection augmente exponentiellement avec le temps, le nombre d’utilisateurs, le nombre d’évènements système dans un ordinateur.

Ces quelques règles de base montrent que dans le cas de Flame – sans le code à analyser, nous devons nous contenter des affirmations des éditeurs -- nous sommes très loin de ce que font les codes malveillants utilises à des fins d’actions de police ou militaires. Des attaques récentes en France et en Europe ont montré toute la réalité des attaques ciblées. Fort heureusement, elles n’ont pas été autant et aussi stupidement médiatisée que Flame.

Au final, l’annonce de Kaspersky et d’autres éditeurs– qui vient seulement maintenant  de détecter Flame,  après huit ans d’existence – est assez surprenante : soit le Proche et Moyen Orient ne sont pas équipés de Kaspersky et des produits similaires, et ce coup médiatique devient compréhensible. Ou bien, ces produits antivirus, sensés détecter «  les codes malveillants inconnus avant qu’ils ne frappent votre PC »  ne sont pas les rolls de détection que tests après tests les medias voudraient nous vendre. Mais cela Fred Cohen l’a démontré en 1986.

La conclusion est que le domaine de la sécurité ne doit plus être le terrain de jeu des seules sociétés éditrices de logiciels de sécurité. Il faut arrêter de terroriser les utilisateurs et les décideurs pour revenir à une réalité certes préoccupante mais néanmoins très éloignée des feux hollywoodiens de Kaspersky. Il serait bienvenu que l’Europe et les différents CERT nationaux deviennent des instances de contrôles et de vérification des menaces. Paraphrasant,  la phrase célèbre de Georges Clemenceau, la sécurité informatique est devenue chose trop sérieuse pour la confier aux éditeurs de logiciels de sécurité.  Finalement le cas Flame nous rappelle avec force un autre cas de manipulation par les éditeurs : celui de l’affaire du virus Michelangelo, en 1991. Le lecteur pourra lire l’excellente analyse faite par George C. Smith dans son admirable livre « The Virus creation lab – A journey into the underground ».  

Les commentaires de cet article sont à lire ci-après
Commentaires (11)
Ecrire un commentaire
Vous devez être abonné pour rédiger un commentaire.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Nos articles sont ouverts aux commentaires sur une période de 7 jours.
Face à certains abus et dérives, nous vous rappelons que cet espace a vocation à partager vos avis sur nos contenus et à débattre mais en aucun cas à proférer des propos calomnieux, violents ou injurieux. Nous vous rappelons également que nous modérons ces commentaires et que nous pouvons être amenés à bloquer les comptes qui contreviendraient de façon récurrente à nos conditions d'utilisation.
littleship
- 04/06/2012 - 09:43
Mea Culpa de F-Secure
http://www.wired.com/threatlevel/2012/06/internet-security-fail/
Vonklaus
- 31/05/2012 - 21:42
La médisance est la fille ainee de l'impuissance!
Vous admettez ne pas avoir accès au code source, cependant vous vous permettez de mettre en cause la véracité de Kaspersky et pour combler vos lacunes vous enrobez votre discours de références archaïques: "Mais cela Fred Cohen l’a démontré en 1986." Vous savez très bien qu'en termes informatiques un mois, une semaine peuvent représenter des ères.
Discrètement vous dites "Bundes trojan découvert en 2011 par les membres du CCC" le CCC n'étant autre chose que le "chaos computer club" un minable club de hackers.
Alors on peut vous demander pourquoi une entreprise sérieuse, Kaspersky, ne pourrait-elle pas découvrir un virus alors que de hackers réussirent eux à en dévoiler un ? Dans l’occurrence un « trojan » crée par la puissance économique et technologique numéro un en Europe, l’Allemagne.
"Flame ne correspond pas vraiment à la démarche opérationnelle requise." Bla bla.
Vonklaus
- 31/05/2012 - 21:38
Confier la cyber sécurité à l’Etat français? Quelle plaisanterie
Vous dites en paraphrasant Clemenceau…que l'Etat doit prendre en charge la sécurité informatique, mais vous êtes la preuve que de fonctionnaires surpayés et auto-complaisants ne sont pas à même de faire face aux nouveaux défis. Il est plus sensé de payer un peu d'argent aux ingénieurs de Symantec ou de Kaspersky que de confier une tâche aussi importante à un état inutilement bureaucratique, car ces entreprises, au marketing agressif certes, sont obligées par le marché à faire preuve d’un dynamisme et d’une réactivité que nous ne saurions même pas espérer des fonctionnaires.
A cause de cette mentalité étatique la France n’a pas une seule entreprise reconnue dans le domaine de la cyber sécurité.
Enfin, vous jalousez cette jeune entreprise d'avoir réussi à faire ce que vous et vos collègues ne pourraient pas.