Flame peut tirer parti de la technologie Bluetooth d'un ordinateur infecté pour chercher d'autres équipements comme les téléphones mobiles à proximité, précise des chercheurs de Kaspersky Lab dans le rapport initial sur le malware. Cette fonctionnalité est présente dans un module appelé Beetlejuice souligne des chercheurs de Symantec dans un blog : « Quand un périphérique est détecté, son statut est interrogé et les détails du terminal sont enregistrés, y compris son numéro d'identification pour ensuite être transférés à un attaquant ». Ces informations peuvent ensuite être utilisées pour déterminer les cercles de connaissances professionnelles et sur les réseaux sociaux des victimes, en observant dans le temps les ordinateurs qui se connectent régulièrement.
Les ordinateurs infectés par Flame peuvent également agir en tant que balises Bluetooth, pour chercher d'autres périphériques infectés. Ils communiquent en utilisant un système de description spéciale. Cette fonctionnalité pourrait potentiellement aider des pirates à localiser physiquement les ordinateurs infectés à l'intérieur d'un bâtiment par exemple. Cette méthode serait utilisée pour extraire des informations directement à la source, plutôt que par le réseau, constate Vitaly Kmaluk, expert en malware chez Kaspersky Lab. Cette fonctionnalité serait même une caractéristique de Flame, mais aucune preuve technique de l'utilisation de cette fonctionnalité n'a été trouvée, admet le chercheur. Les spécialistes de Symantec juge que ce type d'attaque aurait l'avantage de contourner les pare-feux et les contrôles de sécurité. « Il est possible qu'il existe un code inconnu ou caché dans W32.Flamer, qui réalise déjà certaines de ces objectifs. Par exemple, nous n'avons pas trouvé de code réseau proche de celui lié à la fonctionnalité balise, pourtant un ordinateur compromis peut se connecter à un autre avec le bluetooth » poursuivent-ils.
Toujours selon les mêmes spécialistes, la fonctionnalité Bluetooth pourrait servir à écouter les conversations privées, via les solutions mains-libres. Lorsque l'appareil est installé dans une salle de réunion par exemple, les attaquants peuvent écouter les conversations ». Les différents scénarios élaborés par les chercheurs en sécurité seraient en dessous des capacités réelles voulues par le ou les concepteurs de Flame. Au vu de la technicité du malware, les regards se tournent vers les Etats-nations pour la réalisation d'une telle menace. La semaine dernière, un article d'un quotidien américain estimait que Barack Obama avait été l'ordonnateur des attaques avec Stuxnet. « W32.Flamer est peut-être la seule menace basée sur Windows qui utilise le bluetooth » conclut les chercheurs de Symantec.
Des chercheurs détaillent l'usage du Bluetooth dans le malware Flame
La fonctionnalité Bluetooth du malware Flame pourrait être utilisée pour détecter physiquement d'autres appareils infectés et donner la possibilité à des attaquants locaux de récupérer des données, explique les chercheurs en sécurité de Symantec et Kaspersky Lab.