Selon l'entreprise de sécurité F-Secure, Duqu est un bot windows (et pas un ver), utilisé pour effectuer des attaques très ciblées contre un nombre limité d'organisations, dans un petit nombre de pays. Il se propage via un document transmis par courrier électronique. La spécificité de Duqu est qu'il exploite une faille découverte dans le noyau de Windows.  Microsoft a livré un premier correctif pour limiter les dégâts de Duqu. Selon F-Secure, pas trop de raisons de s'inquiéter toutefois : en effet le document infecté n'est pas en circulation. Il est tellement ciblé que son transfert révélerait très certainement l'identité de la cible première, raison pour laquelle CrySyS Lab, qui a découvert Duqu, ne peut pas diffuser le document.

Si Duqu ne cible que des cibles stratégiques, pas de raison de s'inquiéter? F-Secure relève toutefois un effet collatéral qui pourrait s'avérer problématique: à savoir que lorsque Microsoft diffusera son patch, les hackers malveillants pourront effectuer une action de reverse engineering sur ce patch, ce qui leur permettra de découvrir où se situait la faille. Ils pourront ensuite exploiter cette faille pour s'attaquer à tout ordinateur Windows n'ayant pas encore fait de mise à jour.

Un malware proche de Stuxnet

F-Secure liste les similitudes entre Duqu et Stuxnet, qui avait permis de perturber les opérations  dans une centrale nucléaire iranienne, mais relève également quelques différences. En l'occurrence, Duqu n'est pas configuré pour agir de manière autonome. Lorsqu'il a infecté sa cible, il se connecte sur un serveur Command and Control (C & C). Deux serveurs sont connus à ce jour, l'un en Inde et l'autre en Belgique.  Dans un cas connu, Duqu a permis de télécharger un logiciel permettant de collecter des données de sa cible. Duqu pourrait également recevoir l'instruction de se propager au sein du réseau de sa cible via des ressources réseau partagées.

De manière générale cependant, les similitudes entre les deux malwares mènent F-Secure à penser que ses auteurs sont les mêmes. Notant l'intelligence et la méthodicité du système, l'entreprise de sécurité laisse entendre que Duqu serait une «action organisée» déployée ou autorisée par un Etat.

ICTJournal.ch