"Flame" : une cyber-bombe atomique (info # 010106/12) [Analyse]
Par Stéphane Juffa © Metula News Agency
Il y a trois semaines de cela, lorsque l’organe des Nations Unies s’occupant des télécommunications a demandé à la société Kaspersky de mettre son nez dans la disparition mystérieuse de données dans les ordinateurs de la société nationale iranienne de pétrole, le géant russe de la protection informatique ne se doutait pas encore de ce qu’il allait découvrir.
Côté perse, on s’était trouvé dans l’incapacité de procéder aux exportations d’or noir, les ordinateurs commandant aux terminaux des oléoducs ayant cessé de gérer les installations.
Plus aucune goutte du précieux liquide, constituant actuellement la principale ressource de la "République" islamique, ne coulait dans les tuyaux.
Le problème était si exceptionnellement grave, que les ayatollahs ont autorisé les responsables du pétrole à s’adresser à l’ONU et à demander l’aide internationale pour trouver des solutions. C’est l’ONU, faut-il le rappeler, qui a décrété plusieurs trains de sanctions contre Téhéran, comprenant notamment l’interdiction de livrer des produits et de la technologie à l’industrie iranienne de l’or noir.
En proie à la panique, les responsables perses de la Computer Emergency Response Team Coordination Center (le Centre des Equipes de Coordination de Réponse Informatique d’Urgence) en oublient les consignes de discrétion. Ils avertissent, sur leurs sites officiels, de l’émergence d’un virus potentiellement vingt fois plus puissant que la plus vigoureuse des cyber-armes connues jusqu’à maintenant.
L’un des chefs de ce bureau, Kamran Napelian, a admis, dépité, dans une interview au New York Times : "Le virus copie tout ce que vous avez écrit sur votre clavier, il suit tout ce qui apparaît sur votre écran d’ordinateur. Il est clair", continue Napelian, "que ce virus possède des caractéristiques qui ne peuvent venir que d’Israël".
L’objectif personnel poursuivi par les informaticiens iraniens lorsqu’ils se confient ainsi à l’opinion publique mondiale consiste à sauver leur peau ; ils gardent en effet en mémoire la façon dont leurs pairs avaient été traités lors de la découverte des dégâts occasionnés en Perse par Stuxnet ; des dizaines d’entre eux avaient tout simplement été passés par les armes sur ordre de la junte théocratique au pouvoir. La junte, qui ne leur pardonnait pas de s’être montrés incapables de protéger les ordinateurs de Natanz face au virus "israélien". Ils étaient morts dans l’anonymat qui convient aux collaborateurs d’un programme nucléaire.
Or c’est précisément cet anonymat que Napelian et ses collègues désirent briser en se faisant connaître des media occidentaux. Ils s’imaginent [ce qui n’est pas forcément faux] qu’en publiant leurs noms et leurs fonctions à l’Ouest, les ayatollahs hésiteront à les éliminer.
En fait, ils n’y peuvent professionnellement pas grand-chose, car l’assaut mené par le nouvel agent, nommé Flame par Kaspersky (la Flamme), et Flamer (le Pyromane), par son alter-ego US Symantec, est gigantesque et les dépasse de la tête et des épaules.
Ainsi, Alexander Gostev, un chef expert des questions de sécurité chez Kaspersky Lab, constate, avec une admiration non dissimulée, que Flame est "assez fantastique et doté d’une incroyable complexité". Puis il ajoute : "Nous avons mis six mois pour analyser Stuxnet ; celui-là est vingt fois plus complexe, cela nous prendra au moins dix ans pour percer tous ses secrets".
A Genève, dans l’unité de l’ONU qui a sonné l’alarme, Marco Obiso, le coordinateur en matière de cyber-sécurité, va directement aux faits : "Il s’agit de l’alerte la plus grave que nous ayons jamais été amenés à lancer".
Quant à Orla Cox, une spécialiste des questions de sécurité chez Symantec, elle affirme que le nouveau virus n’a rien en commun avec tout ce qui avait été vu préalablement. "C’est gigantesque", dit-elle, "c’est comme utiliser une bombe atomique pour casser une noix".
Cela reste Kamran Napelian qui a donné la meilleure et la plus simple des définitions quant au mode d’action de la nouvelle arme cybernétique. Il avait exprimé que Flame, de fait, voyait toutes les opérations que vous effectuez sur votre machine. C’est exact, mais son action ne se limite pas à cela, il est aussi capable de vous remplacer sur votre propre ordinateur et d’effectuer tous les travaux qui l’intéressent. Il peut cependant réaliser beaucoup plus d’opérations qu’un être humain n’est capable de le faire.
Le virus va fouiner dans les codes de sécurité qui vous sont attribués et remonte, par les réseaux de communication, jusqu’aux PC de vos collègues et de vos chefs.
En outre, il enregistre tout ce qui se dit et s’écrit sur les ordinateurs et dans les réseaux, et le communique, toutes les quinze secondes, s’il juge cela important, ou toutes les soixante, si cela lui semble plus banal, à son opérateur à distance.
Il enregistre vos mails sur Outlook et Outlook Express, il s’introduit dans le programme de Windows 7, présenté comme inviolable par Microsoft, il écoute vos conversations sur Skype, et également les conversations téléphoniques se déroulant à quelques mètres autour de votre poste de travail.
Autre particularité de ce véritable chalumeau : il est capable, lorsqu’il le désire, de détruire des données, en quantités phénoménales. C’est précisément ce qu’il a réalisé dans la société qui exploite le brut iranien.
Et s’il n’avait pas encore été découvert jusqu’à présent, alors qu’il sévit depuis au moins deux ans, c’est que Flame, lorsqu’il commet ces destructions, ne laisse aucune signature derrière lui.
Kaspersky en témoigne, ils n’ont trouvé strictement aucune trace du virus ni de son module exterminateur prénommé Viper (Vipère) dans les décombres du système informatique des terminaux pétroliers perses.
Flame pèse environ vingt mégabits, contre 500 kilos à son prédécesseur Stuxnet. Les experts le définissent comme une caisse à outils. Une caisse à outils, qui s’immiscerait dans votre machine et en prendrait le commandement grâce à ses divers modules, tout en vous donnant l’impression que vous travaillez en toute sécurité.
Si Stuxnet avait une fonction unique, celle de mettre hors d’usage les centrifugeuses occupées à enrichir de l’uranium, Flame est un intrus multitâches. Un virus qui s’en prend aussi bien à des individus qu’à des sociétés privées, des institutions liées à l’éducation, des organisations gouvernementales, des organismes à buts industriels, et, bien entendu, aux forces armées de la "République" islamique, à leurs chefs et leurs installations.
Là où Stuxnet et DuQu se cantonnaient dans un rôle strictement destructif – cessant de receler le moindre intérêt pour leurs opérateurs une fois les dommages effectués -, Flame continue d’exister et de sévir. La destruction n’est que l’attribution de quelques uns de ses modules.
Autre différence fondamentale, les cyber-armes précédentes se diffusaient de manière automatique, par les clés USB, les mails, ou les réseaux. Des dizaines de milliers de PC étaient ainsi inoculés, dont la plupart ne revêtaient aucun intérêt pour leurs opérateurs.
Flame, ou plutôt ses patrons, choisissent leurs proies, et ne les collectionnent pas en quantités démesurées ; en Iran, ils n’ont investi "que" deux cents machines, une centaine chez les islamistes palestiniens, une trentaine au Soudan et autant en Syrie. Cela permet une moins grande exposition : plus on est diffusé, et plus on a de chances de se faire remarquer.
Chez Kaspersky, on estime que le nouveau virus a pris possession, en tout, de l’âme d’un millier d’ordinateurs.
Flame est si sophistiqué, qu’il aménage sur les machines cibles une back-door, une entrée dérobée qui va permettre à l’opérateur de mettre à jour le software du virus et de lui ajouter des fonctionnalités à sa guise.
Certains, à la lecture de ces lignes, vont se dire, le sourire au bord des lèvres : "On est réellement en train d’entrer dans l’ère de la science-fiction". Ils se trompent pourtant. C’était vrai il y a dix ans, désormais nous sommes "en plein dedans".
Un virus comme Flame procède d’une arme à tous les points de vue. Non pas une arme secondaire, mais une de celles qui va faire pencher la balance dans les conflits à venir.
Ce sont les chars d’assaut et les avions qui sont en passe de devenir les armes secondaires. A quoi sert, en effet, un blindé, si une cyber-attaque le prive d’obus, empêche qu’on ne lui livre du carburant, brouille ses radars de tir et bloque les soldats qui le servent dans un monstrueux embouteillage à Téhéran, généré par la destruction du système qui contrôle les feux de signalisation ?
Dans le même temps, Flame, ou d’autres virus qui sont assurément déjà en train de contaminer le cyberespace de la "République" islamique, sans encore avoir été découverts, fomenteront une indescriptible gabegie dans le trafic des trains et des avions, tant civils que militaires. La réalité que je décris ici n’est pas celle de demain, c’est celle qui a cours maintenant.
Il est aisé d’imaginer que si l’on peut bloquer, pendant plusieurs semaines, toutes les exportations de pétrole de la théocratie chiite, on peut aussi neutraliser tous les domaines que je viens de citer, et bien d’autres, plus sensibles encore, auxquels je pense, mais que je ne désire pas mentionner.
Nous avions écrit, dans un autre article consacré aux scenarii probables d’une opération militaire contre l’Iran, que les ayatollahs et leurs soldats seraient noyés dans une surprise complète, dont ils sont toujours incapables de mesurer l’extraordinaire envergure. Les dernières révélations publiques relatives à Flame, que nous nous contentons d’analyser et d’extrapoler, procurent une idée un peu plus précise du type et de la profondeur du désarroi dans lequel ils vont être plongés.
Au cas où l’Etat hébreu décidait de porter son attaque, il est prévisible que, grâce à la cyber-guerre et à la gestion d’autres moyens militaires, le premier impact agressif soit si fort que les Iraniens seront, plus que probablement, incapables de se défendre efficacement. Les objectifs principaux seront atteints en l’espace de quelques heures et ces succès procureront l’impression d’une victoire facile et complète.
Peu importe, par ailleurs, le fait d’en parler, car le commandement des forces ennemies et les ayatollahs qui leur donnent des ordres sont parfaitement au courant de ce dont nous parlons, mais ne possèdent pas le commencement du début d’une solution pour empêcher Israël, et/ou ses alliés, d’agir de la sorte.
Reste qu’il y a toujours danger à sous-estimer son ennemi ; en pleine connaissance des éléments que nous venons de rapporter, nombre de politiciens et de chefs de guerre hébreux, se demandent depuis longtemps "ce que nous attendons pour porter l’estocade".
Ce à quoi les prudents répliquent que la guerre avec l’Iran ne cesserait pas après ces succès initiaux, réalisés grâce à la maîtrise de la haute technologie, ainsi qu’à la totale suprématie dans le ciel. Une guerre avec l’Iran et ses plus de soixante dix millions de Perses, dont environ quinze millions étroitement liés au destin du régime en place, pourrait durer cent ans.
Même si Téhéran mettait trois à cinq ans pour se remettre des dégâts causés à son armée et à ses installations par une attaque du type de celle qui est envisagée, il pourrait ensuite agir par l’intermédiaire des organisations terroristes qu’il sponsorise, et multiplier les attentats à l’étranger, contre des intérêts israéliens, juifs ou alliés.
Téhéran pourrait aussi, après avoir été confirmé dans son rôle d’ "agressé", tenter toutes sortes d’opérations suicides contre le territoire des Hébreux, notamment à l’aide de missiles rescapés du revers initial ou achetés au Pakistan ou en Corée du Nord.
La conclusion qui s’impose à la discussion entre ces thèse et antithèse, est que, si Jérusalem envisage une opération militaire contre l’Iran, avec ou sans l’Amérique et d’autres alliés, elle devra considérer la nécessité d’ "entretenir" sa première frappe par des attaques successives et fréquentes, destinées, d’abord, à compléter les dégâts infligés à l’infrastructure adverse, puis à empêcher qu’ils ne soient réparés.
L’interrogation véritable consiste ainsi à se demander si Israël et l’Occident sont prêts à s’engager dans une guerre d’usure menée à distance et durant de longues années. Une guerre qui ne manquerait pas de faire des victimes dans le camp des anti-ayatollahs.
Dans l’équation générale du problème nucléaire iranien, les moyens de cyber-guerre jouent un rôle prépondérant. Car ils ont la faculté de limiter la capacité de défense de l’ennemi, de réduire les pertes dans notre camp, d’optimiser les résultats des attaques, de rendre inopérant le matériel de guerre conventionnel des Iraniens, et même, de diminuer le nombre de victimes militaires et collatérales dans leurs rangs.
Entre Etats ayant atteint le même niveau de développement des virus de guerre, la confrontation se ferait exclusivement par comparaison des ressources réciproques. Et le protagoniste le plus faible évitera, s’il le peut, de participer à une confrontation.
Dans le cadre des conflits déséquilibrés, entre deux entités dont les ressources technologiques ne sont pas comparables, la décision d’entrer en guerre – par exemple en refusant de faire les concessions nécessaires durant les négociations à Istanbul, Bagdad et Moscou -, procède d’une erreur à caractère suicidaire. Sauf si, et c’est le projet des ayatollahs, l’Iran prévoit de compenser son retard par le recours, sur la durée, à des armes rustiques et à des volontaires au suicide, contre lesquels les armes de science-fiction n’ont pas prise.
On constate donc, qu’en dépit de l’introduction de "caisses à outils" informatiques remarquables, la décision de guerre ou de paix demeure dans les mains des hommes. Et que leur choix est bien moins évident qu’il n’y paraît au premier regard.