Qui est derrière le virus Flame, qui défraie les blogs spécialisés dans la sécurité informatique sous les rubriques « cyber-guerre » ou « cyber-espionnage » ? Présenté comme bien plus puissant et plus sophistiqué que le virus Stuxnet qui faisait l’objet de commentaires similaires en 2010 lorsqu’il parvenait à paralyser des centrifugeuses utilisées dans les centres nucléaires iraniens, Flame infecte semble-t-il lui aussi de nombreux ordinateurs iraniens, notamment ceux utilisés par son industrie pétrolière, mais sévirait aussi dans d’autres pays. On dit de lui qu’il est capable de renvoyer à ses auteurs, non-identifiés, des informations aussi diverses que des captures d’écran, des suites de caractères tapés sur le clavier lors d’un chat ou des conversations audio menées à l’aide de l’ordinateur infecté. Après Stuxnet, crédité de la paralysie d’un cinquième des centrifugeuses nucléaires iraniennes, et son successeur le ver Duqu, tourné davantage vers l’extraction de données que le sabotage, Flame marquerait une nouvelle escalade dans les affrontements cybernétiques entre États. Au total, il représenterait vingt fois plus de code que les deux autres programmes, jusqu’à environ 20 MB, mais serait pratiquement indétectable. Lorsqu’au milieu des spéculations sur l’origine d’un tel virus et ses dangers potentiels, un responsable israélien se vante des capacités de son pays dans ce domaine, s’agit-il d’une revendication indirecte de paternité ? Le vice-premier ministre Moshé Ya’alon a déclaré il y a quelques jours à ce sujet que « quiconque voit la menace iranienne comme une menace sérieuse serait enclin à prendre d’autres mesures, y compris celles-ci, pour leur faire du tort ». Le fait que hormis l’Iran, des ordinateurs israéliens aient aussi été infectés ne démentirait pas forcément l’origine israélienne, ou peut-être américano-israélienne, du virus.
Les premières descriptions de Flame ont été fournies par l’entreprise de sécurité informatique Kaspersky Lab, basée à Moscou, qui a affirmé que c’est un groupe distinct des auteurs de Stuxnet qui est à son origine, tout en poursuivant fondamentalement les mêmes objectifs. Alors que Stuxnet et Duqu paraissaient sortir du même atelier de programmation, « nous pensons que Flame a été écrit par une équipe de programmeurs différents mais travaillant pour la même entité plus vaste », a fait savoir Roel Schouwenberg de Kaspersky Labs.
Parmi les indices qui pointent vers Israël, outre la mission du malware, figurent les horaires de travail des programmeurs travaillant sur Duqu, qui correspondent selon Kaspersky Lab au fuseau horaire d’Israël et à la semaine de travail observée dans ce pays.
Flame pourrait en fait être de conception antérieure à Stuxnet et Duqu, mais serait devenu visible ces derniers jours seulement, suggère le New York Times se référant à l’entreprise de sécurité informatique Webroot. Flame a, dit-on, la capacité de se transmettre à un appareil non connecté à Internet, en utilisant des appareils branchés à l’aide de la technologie Bluetooth ou en passant par d’autres appareils d’un réseau local, par exemple des imprimantes. Contrairement à Duqu qui, de par sa conception se propage spontanément d’ordinateur à ordinateur, Flame attend les instructions de ses auteurs et maîtres pour s’installer sur d’autres machines. Il est notamment en mesure d’activer le microphone de la machine infectée pour retransmettre le son capté à son commanditaire. Bien que présenté comme dédié en premier lieu à l’espionnage, Flame serait cependant capable d’effacer le disque dur de l’ordinateur infecté.
Par définition, s’agissant d’espionnage, il est difficile de démêler le vrai du faux, et en particulier les constatations techniques des experts en virus des diversions imaginées par les auteurs de ce type de strategème pour brouiller les pistes. Reste que l’Iran a confirmé que des ordinateurs de certains de ses hauts-dirigeants ont été pénétrés par Flame. Si, grâce à ce virus, Israël arrive à ses fins face à lran et ses ambitions nucléaires sans risquer une opération militaire, qui pourra s’en plaindre ?