Flame réussit (au moins) à enflammer les esprits
Mikko Hypponen, de F-Secure, paraît bien seul avec son mea culpa.
Mikko Hypponen, de F-Secure, paraît bien seul avec son mea culpa. Au point que l’on se demande s’il sera aussi audible qu’il le mériterait. Rik Ferguson, de Trend Micro, a en revanche gagné des ralliements dans sa critique de la communication de Kaspersky - entre autres - autour du logiciel malveillant Flame. Ainsi, Joe Jaroch, vice-président de Webroot, affirme au New York Times avoir découvert un premier échantillon de Flame en 2007 mais indique avoir choisi de ne pas communiquer parce qu’il y avait «beaucoup de virus plus dangereux dans la nature ». Et même, contredisant certaines analyses selon lesquelles Flame aurait nécessité beaucoup de moyens pour son développement, il précise qu’il serait «choqué si c’était le travail d’un État-nation ». Quitte à donner l’impression de réduire la portée du mea culpa de Mikko Hypponen, un Mr Sullivan, de F-Secure, explique à nos confrères que Flame «est intéressant et complexe mais pas élégant ni furtif ». Tout au plus, pour lui, ce pourrait être le travail d’un sous-traitant de l’armée américaine, par exemple.
Dans les colonnes d’Atlantico, Eric Filiol n’est pas plus tendre. Cet expert français, directeur du laboratoire de sécurité informatique de l’ESIEA, affirme vouloir «nuancer» la menace, «cette annonce pourrait chercher avant tout à gonfler les commandes de l’éditeur afin de renflouer un peu ses caisses ». Un exercice qui a surtout un objectif - somme toute assez cohérent de la part de cet ancien militaire : servir de démonstration au fait que, selon Eric Filiol, «le domaine de la sécurité ne doit plus être le terrain de jeu des seules sociétés éditrices de logiciels de sécurité ». Des sociétés qui, selon lui, «terroriseraient les utilisateurs et les décideurs» alors qu’il faudrait «revenir à une réalité certes préoccupante mais néanmoins très éloignée des feux hollywoodiens de Kaspersky ». Bref, en matière de sécurité informatique, il semble temps de remettre le secteur public au centre du jeu.
Toujours en France, Owni a repris un billet d’Adrien Gévaudan, publié initialement sur son site Web lancé en juin 2011. Pour celui-ci, qui se décrit non pas comme un expert en sécurité informatique mais en tant que «passionné d’économie internationale, diplômé de Sciences Po Aix et de l’IRIS», Flame «n’est pas aussi révolutionnaire que le laissent entendre certains médias et entreprises ». Son billet ne dit pas sur quelles ressources il a pu s’appuyer pour en étudier rapidement et exhaustivement le code, mais il pose toutefois la question de savoir si Flame ne serait pas «un pétard mouillé ». Estimant que les capacités «supposées» du malware sont «classiques», il explique, au risque de verser dans une certaine ambiguïté, qu’il ne faudrait tout de même pas «remettre en question son efficacité» et sous-estimer la menace. Un «excès» dans lequel tomberait, selon l’auteur, Eric Filiol, justement, dans sa tribune publiée par Atlantico. Et d’appeler, in fine, à la prudence, à la prise de recul et à l’esprit critique.
Dans ce brouhaha, outre l’honorable mea culpa de Mikko Hypponen, on relèvera surtout les commentaires de Stephen Cobb d’Eset qui, prenant une certaine hauteur rafraichissante, dénonce «l’arrogance» des créateurs de Stuxnet, devenu «un cadeau aux criminels et aux Etats-nations aux intentions malicieuses». Selon lui, Flame aura le même destin. La morale de l’histoire, pour Stephen Cobb ? «Déployer du code malicieux pour servir les vues d’un Etat-nation n’est pas idiot. C’est pire que ça.»