Stuxnet, le ver qui attaque des sites sensibles

Stuxnet, le ver qui attaque des sites sensibles: "Actualités / Sécurité
Stuxnet, un mystérieux virus qui s'attaque aux sites industriels
Ce code malveillant n’a rien du virus traditionnel, puisqu’il pourrait s’agir d’une « cyberarme » destinée à attaquer des infrastructures sensibles.
Eric Le Bourlout
01net
le 24/09/2010 à 17h03


C'est un code pas comme les autres qui circule depuis plus d'un an sur Internet. Repéré seulement au mois de juin 2009 par une petite firme de sécurité biélorusse, Stuxnet a depuis fait couler beaucoup d'encre. D'abord parce qu'il était le premier à tirer parti d'une grave faille Zero Day touchant les icônes de Windows, que nous avions évoquée voici quelques temps. On a découvert depuis que Stuxnet exploitait en réalité trois autres failles Windows non patchées – deux d'entre elles le sont désormais – pour tenter d'infecter la machine cible, ce qui est extrêmement rare pour un malware.

« Le code est relativement classique, mais intéressant d'un point de vue technique, puisqu'il consiste en un cheval de Troie doublé de technologies de type rootkit pour le rendre invisible », commente Eric Filiol, expert en sécurité et directeur du centre de recherche du groupe ESIEA (1). Qui ajoute que la bestiole, décidément coriace, utilise aussi des certificats numériques Verisign volés (à la firme Realtek, notamment) pour faire passer pour authentiques les pilotes Windows dont il a besoin.
A l’assaut des systèmes industriels

Ce qui a étonné les experts en sécurité, c'est autant la qualité du code que la cible de Stuxnet. Car ce ver ne s'intéresse pas, comme les autres malwares, au PC de monsieur tout-le-monde, mais à des systèmes de contrôle industriels, que l'on trouve sur des sites sensibles : usines, centrales nucléaires ou de gestion de l'eau et on en passe.

Ces systèmes, baptisés Scada (pour Supervisory Control And Data Acquisition ou commande et acquisition de données de surveillance), sont chargés de la gestion des mesures et commandes indispensables au bon fonctionnement d'un site industriel. Stuxnet sait choisir ses cibles et ne s'en prend qu'à des logiciels pour Scada spécifiques WinCC et PCS 7, commercialisés par Siemens et tournant sous Windows.

Ces programmes hautement spécialisés, servent à programmer depuis Windows, ce que l'on appelle des contrôleurs à logique programmable (PLC), des mini-ordinateurs essentiels qui assurent les fonctions automatiques dans une usine (par exemple la gestion de la température, des robots, de la vitesse des systèmes).

Des mécaniques pointues, mais assurément parfaitement connues des créateurs de ce ver atypique. Dans un communiqué publié mercredi 22 septembre 2010, Siemens avouait d'ailleurs qu'après analyse, Stuxnet « n'apparaissait pas être le développement d'un hacker isolé, mais le produit d'experts en informatique ». L'entreprise suspecte que « cette équipe est composée d'experts doués de connaissances en ingénierie des contrôles industriels ».

Ainsi, même si le ver a contaminé plusieurs dizaines de milliers de machines à travers le monde, il s'est contenté de « dormir » sur celles qui ne l'intéressaient pas. « Stuxnet dispose de moyens pour identifier les machines. Il analyse les systèmes et recherche certains critères – un contrôleur particulier, notamment – pour cibler de manière sûre des machines industrielles », commente Eric Filiol. Siemens a revendiqué une quinzaine d'infections dans des usines.
Stuxnet, une cyberarme ?

Mais à quoi peut bien servir l'étrange Stuxnet ? Lors de sa découverte, on a bien évidemment cru à une nouvelle forme d'espionnage industriel. Mais après de longues semaines d'analyse du code, les chercheurs commencent à y voir plus clair. Et certains doutent qu'il s'agisse d'espionnage... Mais plutôt d'une tentative de cyber-sabotage. « Des investigations ont montré que le virus peut en théorie influencer certaines opérations dans le système de contrôle », indique Siemens. Par ailleurs, le Christian Science Monitor rapportait il y a quelques jours les découvertes du chercheur allemand Ralph Langner, qui a disséqué une partie du virus et pour qui il est clair que « Stuxnet est une cyberattaque dont l'objectif est de détruire des processus industriels dans le monde physique ». Une volonté de sabotage confirmée, d'après le CSM, par d'autres chercheurs américains.

Symantec a par ailleurs publié un long article technique qui explique le processus d'infection et en particulier comment Stuxnet parvient à... reprogrammer un PLC à la guise des pirates en interceptant et en modifiant comme il le désire les communications entre l'ordinateur infecté et le PLC.

En clair, Stuxnet serait donc capable de détraquer une machine chargée du bon fonctionnement d'un automatisme dans une importante infrastructure, comme par exemple... une centrale électrique. Heureusement, d'après Siemens, aucun bâtiment industriel touché n'aurait subi de dommages par le biais de ce ver, qui n'a apparemment rien modifié sur les systèmes des usines infectées.
A la recherche des créateurs de Stuxnet

Le Web s'agite désormais autour des origines de ce ver, qui demeurent très mystérieuse. Mais la thèse de Langner, purement spéculative, a été largement reprise depuis quelques jours. D'après lui, un faisceau d'indices pourrait laisser penser que Stuxnet aurait en réalité été conçu pour porter atteinte à la centrale nucléaire de Bushehr, en Iran.

Pour appuyer sa thèse, il se base notamment sur une capture de WinCC datée de 2009 qu'il a trouvée sur le site de United Press International. Celle-ci, apparemment prise à la centrale de Bushehr, montre un message d'erreur – une licence expirée – sur le logiciel de Siemens. Et Langner d'en déduire qu'il s'agit peut-être là d'une preuve d'un problème de sécurité informatique sur le site. Sa théorie semble appuyée par des données de Symantec qui révélaient fin juillet que presque 60 % des attaques de Stuxnet étaient concentrées en Iran.

« Il faut rester très prudent sur les origines et les cibles de l'attaque, commente Eric Filiol qui tient à modérer cette thèse. Une attaque ciblée a pour vocation d'être discrète. » Or ce n'est pas le cas de Stuxnet, qui est loin de n'avoir frappé que l'Iran et s'est même au contraire largement répandu à travers le monde.

Et même si Stuxnet ciblait effectivement l'Iran, Eric Filiol nous indique que cela ne prouverait pas grand-chose : « Cela pourrait être une attaque contre l'Iran, mais tout aussi bien une attaque effectuée depuis l'Iran pour faire croire que des ennemis ont attaqué le pays. »

Le seul moyen de révéler la provenance du virus serait de retrouver les premières connexions. Voilà ce à quoi travaillent, en ce moment, les experts en sécurité. On n'a pas fini d'entendre parler de ce drôle de ver.

(1) Ecole supérieure d'informatique, électronique et automatique de Laval.

– Envoyé à l'aide de la barre d'outils Google"