En mai 2012, les experts de Kaspersky, le laboratoire de cybersécurité basé à Moscou, annoncent une découverte qui fait date : un programme-espion d’une complexité inédite rôde sur les réseaux du Proche-Orient. Son nom : « Flame ». Les recherches indiquent que plus de 1 000 machines sont identifiées comme infectées. Les systèmes d’information appartiennent à des pays savamment ciblés. L’Iran, en fer de lance, mais aussi le Liban, la Syrie, le Soudan ou encore les Territoires palestiniens.

Rapidement, la presse spécialisée évoque une campagne d’espionnage à grande échelle — un projet hautement stratégique, silencieux et méticuleusement ciblé. Il n’est pas comme Stormous qui revendique une cyberattaque contre les systèmes de l’Éducation nationale. Flame n’est pas un ransomware ni un ver destructeur. Il n’efface rien, ne bloque rien, mais il observe, collecte, intercepte. Une opération de renseignement cybernétique, probablement conçue pour durer dans le temps, à l’insu de ses victimes.

Aux origines du cyberespionnage d’État

Ce qui frappe immédiatement les analystes, c’est la richesse fonctionnelle du programme malveillant. Il est tout sauf un simple, déjà par son poids de 20 Mo. Il s’apparente plus à une plateforme d’espionnage modulaire. Ses opérateurs peuvent l’adapter en fonction des cibles et des besoins. « Il est beaucoup plus difficile de pénétrer un réseau, d’en apprendre plus à son sujet, d’y résider pour toujours et d’en extraire des informations sans être détecté que d’entrer et de se piquer à l’intérieur du réseau, causant des dommages », déclare en 2012 Michael V. Hayden, un ancien directeur de la NSA et directeur de la CIA ayant quitté ses fonctions trois ans plus tôt.

Parmi ses fonctionnalités : l’interception des e-mails et des documents de type Word, Excel, PDF ; l’enregistrement des conversations audio, via l’activation du micro ; des captures d’écran régulières, lors de l’usage de logiciels spécifiques ; l’analyse du trafic réseau et des connexions Bluetooth ; et l’extraction furtive des données vers des serveurs distants.

Le tout dans un code d’une taille peu ordinaire. Il représente près de 20 mégaoctets, soit dix à vingt fois plus qu’un malware classique en 2012. Cerise sur le gâteau, il est capable de se mettre à jour à distance, de s’auto-effacer, sans oublier le principal : échapper à la détection des antivirus traditionnels. Il dépeint, en 2012, le summum de l’ingénierie logicielle appliquée à l’espionnage. (Crédits : Miriam Espacio/Pexels)

Comme Stuxnet, pas besoin de test de paternité pour émettre des soupçons précis et vraisemblables. Tout laisse à penser qu’il s’agit d’un outil conçu par un État ou un groupement interétatique. Pour étayer ces propos, les experts en rétro-ingénierie, entre autres, s’appuient sur la sophistication du code, la durée de développement supposée, la précision géopolitique du ciblage. Devant autant d’indices convergents, aucun doute. Un magistrat construit un faisceau d’indices. Ce dernier est un ensemble d’indices qui, par leur convergence, permettent de prouver un fait juridique ou un acte juridique.

Une signature discrète mais révélatrice

Une proximité avérée avec Stuxnet, le ver informatique qui a frappé les centrifugeuses nucléaires iraniennes en 2010. Certaines parties de code semblent partagées ou s’inspirent des mêmes bibliothèques. Un autre membre de la famille apparaît également : Duqu. Ce dernier est considéré pour avoir été créé par l’unité israélienne 8200. « L’unité 8200 est probablement la meilleure agence de renseignement technique au monde et se situe au même niveau que la NSA à tout point de vue, sauf l’échelle », explique Peter Roberts, chercheur principal au Royal United Services Institute de Grande-Bretagne.

Bien entendu, aucune preuve formelle ne confirme ces allégations. Des enquêtes journalistiques, comme les « Pandora papers », les « Panama papers » et des rapports de cybersécurité, affirment que Flame s’inscrit dans l’identique lignée que Stuxnet, connu sous le nom d’« Olympic Games ».

C’est un tournant, au moins pour le grand public. Il s’agit alors d’un outil digne de la guerre froide numérique. Très utile à des fins de collecte à grande échelle, sur le long terme, dans des zones de tension diplomatique.

Le niveau est monté d’un cran. La logique n’est plus de punir ou d’extorquer, mais de savoir avant tout le monde. Pour anticiper les mouvements, cartographier les réseaux décisionnels, scientifiques ou militaires. (Crédits : Kevin Ku/Pexels)

Les militaires habitués aux codes de la Guerre voient une évolution drastique. Plus un bruit, pas de fumée, aucun champ de bataille visible. Flame déclare un changement de paradigme. Dans le cyberespace, la guerre n’est plus annoncée. Elle est diffuse et permanente, méthodique et chirurgicale. Les règles classiques de souveraineté et du droit international peinent à s’y appliquer. Le cyberespace devient un terrain de manœuvre parallèle, peuplé d’outils invisibles et de fronts mouvants.

Héritage et enseignements

Plus de dix années après sa découverte, il continue d’occuper une place particulière dans la mémoire. Il contribue à dévoiler au grand public l’existence d’une cyberactivité étatique soutenue, financée et technologiquement avancée. Il montre ou démontre que les États, eux aussi, pouvaient être acteurs — voire pionniers — d’un certain niveau de « piratage ».

Depuis, d’autres campagnes ont été révélées : Equation Group, Shadow Brokers, Pegasus… D’ailleurs, dans le cadre de l’enquête qui concerne les données recueillies, via Pegasus, par le consortium de journalistes, onze États sont pointés du doigt. Le Maroc, le Mexique, l’Arabie saoudite, l’Inde, l’Indonésie, les Émirats arabes unis, le Kazakhstan, l’Azerbaïdjan, le Togo et le Rwanda. En Europe, seule la Hongrie est visée par l’enquête.

Depuis, une accélération de la militarisation du cyberespace et une prise de conscience mondiale des vulnérabilités systémiques qui nous entourent. Quoique sur la prise de conscience de vulnérabilité, il subsiste des doutes. (Crédits : Pixabay/Pexels)

Flame n’est pas une simple concaténation de lignes de code. C’est un prélude à une ère nouvelle, une ébauche d’une société différente, où la cyberguerre n’est plus une hypothèse, mais une composante bien réelle des relations internationales. Les fuites successives et massives de data, la propagande, les communications tronquées, les diversions font partie d’un tout. Le programme malveillant Flame permet d’effectuer un retour vers le passé pour envisager un futur, qui se vit au présent.