La découverte du malware Flame en mai dernier a dévoilé la cyberarme probablement la plus complexe actuellement. Lorsqu’elle fut mise à jour, rien ne prouvait formellement que celle-ci ait été développée par la même équipe que Stuxnet et Duqu.
Au contraire, la méthode de développement étant différente, on en a tiré la conclusion que les malwares étaient l’œuvre d’équipes séparées. Cependant, une analyse approfondie, réalisée par les experts de Kaspersky Lab, révèle que ces équipes ont en fait coopéré au moins une fois aux premiers stades du développement.
En effet, un module de la version de Stuxnet daté de début 2009, connu sous le nom de « Resource 207 », se trouve être aussi un plugin de Flame. Cela signifie que, lors de la création du ver Stuxnet, la plateforme Flame existait déjà et que, dès 2009, le code source d’au moins un module de Flame a été utilisé dans Stuxnet. Par ailleurs, ce module, servant à propager l’infection via des clés USB, présente un mécanisme identique dans Flame et Stuxnet.
Enfin, le module Flame dans Stuxnet exploitait également une vulnérabilité inconnue à l’époque, permettant d’atteindre les autorisations d’accès les plus élevées dans la hiérarchie (sans doute MS09-025). Par la suite, le module Flame a été retiré de Stuxnet et remplacé par différents autres mettant à profit de nouvelles vulnérabilités. À partir de 2010, les deux équipes de développement ont semble-t-il travaillé chacune de leur côté, leur seule coopération supposée consistant à échanger leur savoir-faire sur les nouvelles failles « zero day ».