Stuxnet, une cyber-arme lourde à l’assaut du programme nucléaire iranien
Récemment j’ai lu un article sur le site du journal allemand Frankfurter Allgemeine Zeitung, qui parle d’un virus informatique assez particulier, puisqu’il pourrait s’agir de la première cyber-attaque internationale lancée par une organisation gouvernementale...
Les meilleurs experts en sécurité travaillent actuellement à l’analyse d’un nouveau virus baptisé « stuxnet ». Les indices qu’ils ont déjà pu récolter les mènent sur une piste étonnante : il semblerait que cette arme numérique ait saboté le programme atomique iranien, rien que ça ! Résumé des faits.
Un investissement énorme pour un seul virus
A première vue, le petit programme ressemble aux centaines d’autres malwares qui sont découverts chaque année alors qu’ils se propagent d’ordinateur à ordinateur comme une épidémie. Avec toutefois un détail remarquable : ce virus utilise une faille dans Windows inconnue jusqu’à ce jour (zero day exploit dans le jargon), donc qui n’a pas encore pu être patchée par une mise à jour.
Or ce type de virus, qui s’installe à partir d’une clé USB infectée et prend le contrôle de l’ordinateur à l’insu de l’utilisateur (on l’appelle pour cette raison un "cheval de Troie"), utilise normalement des failles anciennes et connues du système d’exploitation. Cela fonctionne donc seulement chez les personnes qui ne font pas régulièrement les mises à jour de sécurité, mais c’est en général satisfaisant pour les cybercriminels qui cherchent à collecter par exemple des informations bancaires. En effet, les failles publiques sont gratuites... Alors que pour un zero day exploit, qui permet de réussir une attaque à coup sûr et qu’on ne trouve que très rarement, le prix se négocie en centaines de milliers de dollars. Les acheteurs potentiels ne peuvent donc être que le fabricant du logiciel concerné... ou des organismes gouvernementaux. De quoi éveiller la curiosité de nos experts en sécurité...
L’analyse du cheval de Troie montre qu’il se comporte comme une poupée russe : une fois entré sur l’ordinateur depuis la clé USB, une autre couche du virus devient active et installe un petit programme au coeur du système par le moyen d’une faille de sécurité. Et ainsi de suite... Les experts ont ainsi mis à jour 4 zero day exploit. De plus, deux signatures numériques volées ont été trouvées. Normalement, pour des fabricants de composants logiciels sensibles qui s’installent près du coeur du système d’exploitation (comme des pilotes pour cartes graphiques), ces signatures permettent de certifier qu’un logiciel est inoffensif. Les signatures volées chez deux fabricants taïwanais ont donc permis au virus de se faire passer pour inoffensif afin de s’infiltrer dans le système.
Avec un tel investissement pour un virus, on peut exclure les cybercriminels comme auteurs potentiels. Il reste les Etats... Mais pour quoi une telle artillerie lourde pourrait-elle bien être utilisée ? A ce sujet, le coeur du virus livre des informations intéressantes : il contient un programme de manipulation ciblée d’installations industrielles. Les processus industriels dans les raffineries, usines et autres centrales sont très complexes et pour cette raison surveillés par ordinateur pour que les valeurs des températures, pressions et compositions chimiques contrôlées restent dans des plages de sécurité à respecter. Une erreur peut conduire au désastre. Ces systèmes de contrôle informatiques sont constitués d’un réseau très personnalisé de centaines de composants. Pour revenir au virus, il a vraisemblablement été développé pour s’attaquer à un type particulier d’installation industrielle équipée par Siemens. Sur d’autres installations infectées par le cheval de Troie, il ne se passerait rien. Il s’agit donc d’une attaque qui nécessite des informations très précises sur l’installation industrielle ciblée.
Une chaîne d’indices fascinante
A ce stade, l’analyse suggère que des services secrets gouvernementaux ont développé ce virus pour attaquer des installation industrielles. Mais quelle est la cible exacte de cette attaque ? Là encore, même si on se fonde souvent sur des coïncidences et des rumeurs, une chaîne d’indices fascinante nous donne une piste bien précise... On apprend ainsi que :
- 60 % des infections par stuxnet ont été enregistrées en Iran.
- alors que le cheval de Troie a été programmé pour arrêter de se répandre en janvier 2009, sa propagation s’est poursuivie sur des ordinateurs dont la date était incorrecte (une astuce pour continuer à utiliser des logiciels dont les licences sont limitées dans le temps...), ce qui a permis de le découvrir.
- Wikileaks a publié en juillet 2009 une note selon laquelle un accident nucléaire se serait produit en Iran, à Natanz. Les centrifugeuses de Natanz enrichissent une grande partie de l’uranium iranien.
- au même moment, la BBC annonce que le chef de l’autorité de l’énergie atomique iranienne, Gholam Reza Aghazadeh, a démissionné de son poste.
- des statistiques collectées par l’agence internationale de l’énergie atomique indiquent une nette diminution du nombre de centrifugeuses d’enrichissement effectivement exploitées en Iran.
De plus, on sait que les Iraniens utilisent beaucoup l’équipement de contrôle industriel vendu par Siemens. Sachant que cela fait des années que les services secrets occidentaux s’efforcent de ralentir le programme nucléaire iranien par tous les moyens, il n’y a qu’un pas pour faire le rapprochement avec stuxnet et les événements sus-cités.
Reste à savoir comment les auteurs du virus ont rassemblé des informations suffisamment précises pour que l’attaque puisse réussir. On peut imaginer des informateurs iraniens qui sont passés dans le "camp occidental" ou des agents secrets infiltrés sur place. Il fallait en tout cas avoir accès physiquement aux ordinateurs des centrales nucléaires visées pour y brancher une clé USB contenant le virus.
Le virus stuxnet pourrait donc bien entrer dans l’Histoire comme la première cyber-arme utilisée par un Etat... De quoi faire rêver les amateurs d’histoires d’agents secrets à la James Bond !
27 réactions à cet article
-
Et oui on est bien dans ce qui était annoncé sur le fond mais pas dans la forme...
L’iran se fait attaquer... informatiquement mais bon ça revient au même, ils ont leurs centrifugeuses neutralisées.-
Devinne qui c’est derrière tout ca ???
-
Qui ca José Anigo ????
-
Au moins il faut de la cervelle pour ce genre de guerre ! Quand même plus classe que la methode brutale débile des cow-boy US
Seul bemol : le risque reste malheureusement réel pour les populations d’être « colatéralement » irradiées ou intoxiquées !
-
AMHA, cette arme et sa médiatisation sont trop beaux pour être vrais.
Une possibilité : qu’il s’agisse d’un leurre pour préparer un autre type d’attaque, pendant que tous sont concentrés sur Stuxnet.
-
.. Bien ce qu’il me semble aussi.
Cdt.
-
Absolument : trop d’argent dépensé, trop d’exploits 0-day utilisés, et bien trop de médiatisation, sans même parler de l’utilisation de certificats Windows parfaitement valides.
On pourrait sombrer dans le conspirationnisme pour moins que ça
-
Et que dire de Siemens qui utilise un mot de passe fourni avec le logiciel (par défaut) et qu’il ne faut pas modifier sinon le programme plante ?
ce mot de passe est connu depuis longtemps, trois clics de google et on l’a !
un mot de passe unique pour des centaines d’installations de WinCC : c’est effrayant de voir comment on traite la sécurité
pour compléter :
40 % (100-60) des infections par stuxnet n’ont pas été enregistrées en Iran. Mais alors où, chez qui ? au Canada aussi on s’en préoccupe, selon Le Monde, il y a beaucoup de cas en Indonésie et en Inde
le 22 juillet sysmantec annonçait 14000 infections en 72 heures qui ont essayé de joindre leur centre de contrôle http://www.symantec.com/connect/blogs/w32stuxnet-network-information
-
Il y a aussi une page de Siemens qui traite le problème et informe sur les derniers développements pour combattre le virus :
-
La situation est suffisamment grave pour que les autorités iraniennes l’évoquent officiellement. Les systèmes informatiques industriels de la République islamique sont la cible depuis plusieurs mois d’une cyberattaque. Le virus, baptisé Stuxnet, a déjà infecté 30.000 ordinateurs, selon Hamid Alipour, directeur-adjoint de la société d’Etat iranienne des technologies informatiques.Découvert en juin, Stuxnet recherche dans les ordinateurs un programme de l’allemand Siemens servant au contrôle des oléoducs, des plate-formes pétrolières, des centrales électriques et d’autres installations industrielles. Sa fonction serait de modifier la gestion de certaines activités pour entraîner la destruction physique des installations touchées.Certains experts occidentaux ont estimé que ce virus avait pu viser la centrale nucléaire de Bouchehr, qui doit entrer en service prochainement, une affirmation que les dirigeant iraniens ont toutefois démentie.cyber attaque dirigée vers les centrales nucléaires iraniennes :Le virus STUXNET découvert pour la première fois au mois de juin 2010 est le plus dangereux programmes conçus à ce jour, qui peut s’attaquer aux infrastructures des centrales électriques, barrages, installations industrielles.Première guerre sans morts ?-
"Le virus stuxnet pourrait donc bien entrer dans l’Histoire comme la première cyber-arme utilisée par un Etat... De quoi faire rêver les amateurs d’histoires d’agents secrets à la James Bond !"
il y a des tas de facons de hacker un ordi
trouver une faille dans une page web
chercher un mot de passe admin
scanner les ports du firewall
etc-
bonjour,
moi ce qui m’inquiète ... c’est d’apprendre que des industries sensibles, et potentiellement dangereuses, utilisent des ordinateurs sous windows ... ce système d’exploitation-virus, qui ralentit et fait planter l’ordinateur, et fait tout un tas de choses à l’insu de notre plein gré ...
je peux comprendre que les occidentaux soient complices/vendus ... mais j’ose espérer que les russes/chinois/iraniens/etc ... développent, ou développeront leurs propres programmes ...
cordialement
jcn
-
Faut s’équiper en Mac les Iraniens ! hehe
-
-
Pour info, dans un domaine « proche », mon article d’il y a quelques semaines ..
-
-
Comme quoi, pour israel, tout est permis
-
Mahmoud, faut que tu passes à Linux, Windaube c’est tout-pourri.
-
Je n’y connais rien en informatique, j’ai donc une question bête : Qui est assez stupide pour permettre le contrôle d’une centrale nucléaire ou de n’importe quelle installation sensible par un réseau informatique ?
-
Ce n’est pas stupide, c’est incontournable... Vous imaginez confier la surveillance des nombreux paramètres d’une centrale nucléaire à une équipe d’humains ? Alors on court à la catastrophe : l’erreur est humaine... Donc les hommes batissent des machines qui étant de conception humaine ne sont pas infaillibles, mais au moins plus sûres que les humains pour les tâches de surveillance. L’homme n’a plus qu’à superviser le tout.
-
Encore un super plan marketing pour un antivirus !
J’en prend le pari !
Pourquoi ??? tout simplement parce que ce type de projet ne tourne pas sur des plates formes windobe avec ses failles
Généralement les autorités responsables feront toucher les applications sensibles sous de l’Unix ou il ne semble pas exister de virus à ce jour.... mais je peux me tromper
-
C’est une possibilité... Mais je ne comprends pas en quoi un virus qui réussit son attaque fait de la pub pour les anti-virus qui n’ont pas sû l’arrêter pendant des mois ?
-
Tu te trompe en effet.
Les Unix étant des systèmes d’exploitation plus anciens de windows, il est normal que les premiers vers et chevaux de troie aient été développés pour infester des systèmes unix.
La raison de la propagation de virus windows supérieur aux virus du système unix dépend principalement de la part (%) d’équipement mondiale. Il y a beaucoup plus de machine équipée en windows que tout autres système d’exploitation réunis.
Quand aux failles de sécurité systèmes, il y en a aussi sur unix. Exemple l’export NFS permet de passer root NIS avec le compte root local de sa machine. C’est une faille énorme bien connue.
-
je note que l’attaque contre l’Iran a déjà commencé.
quel est le prochain stade prévu par israel et les usa ? bombes phosphorescentes ? frappe nucléaire chirurgicale ?-
la suite :
http://www.heise.de/security/meldung/Stuxnet-Wurm-weitere-Tricks-im-Cyberwar-1098197.html
on s’y demande si ce n’était pas plutôt l’Inde qui était la cible, il y a quelques explications sur la difficulté à éradiquer totalement l’infection et sur la cible, la centrale Busher, civile, qui ne présenterait pas toutes les caractéristiques pour être une bonne cible
il faut aussi analyser les résultats de symantec
http://www.securelist.com/en/blog/325/Myrtus_and_Guava_the_epidemic_the_tre nds_the_numbers
-
Je vois que globalement les commentateurs ne penchent pas vers le conspirationnisme… Finalement, un virus sur-médiatisé ?!
Ce ver a été présenté comme un virus « professionnel », qu’un simple hacker n’aurait pas pu créer, thèse qui arrange les victimes. Mais ce dernier article du Monde met en doute cette version, avec un brin d’ironie.
http://www.lemonde.fr/technolo.....51865.html
L’histoire de « botnet » aurait mérité un peu de clarification, puisque le mode de fonctionnement du virus n’était pas censé être lié à Internet…
« Siemens reconnaît alors qu’il a infecté quinze de ses systèmes, sans provoquer de vrais dégâts. » -> Connaissent-ils TOUS leurs systèmes qui ont été infectés ?
Je trouve qu’il est tout aussi facile de dire que le virus est le fruit d’une conspiration que de se moquer de ceux qui le disent… Parce que l’argument de la campagne marketing pour les produits de sécurité informatique n’est pas très convaincant : aucun anti-virus n’aurait pu stopper ce ver, puisqu’il a été développé pour contourner toutes les sécurités !
Finalement personne ne saura vraiment qui a envoyé ce virus, et pourquoi…
-
Article certes interessant, mais je ne puis m’empecher de relever un détail. Premiere attaque dirigée par un/des état(s) ? Qu’en est il des attaques chinoises sur Google, les ministeres du Canada, l’absorbtion d’une part importante du trafic Internet mondial par les serveurs chinois ? Je doute égallement que les Russes et les Americains se soient génés pour exploiter les failles des systèmes informatiques depuis qu’ils existent. Ne parle t on pas d’entreprises obligées (ou convainques à la faire) de laisser des « back door » dans leur programmes pour que les services de renseignement puissent s en servir ?
Question bête : Nos gouvernements et l’industrie nucléaire se sont ils préparés à un retour de baton ?Quand on voit qu’un ado est capable de craquer des systèmes protégés proportionnellement aux profits qu’ils apportent (la PS3 pour ne pas la citer) en quelques jours, croyez vous que des petits états aux motivation ou à l’éthique douteux vont attendre longtemps avant de s’entourer d’equipes d’autodidactes (et en informatique ils sont souvent les meilleurs) capables de rendre la monnaie de leur pièce à ces « Etats impérialistes qui pensent pouvoir dicter leurs règles au monde » ?Pour être assez proche de l’industrie nucléaire j’espère que tout est fait pour que les systèmes informatiques des centrales soient isolés et non infiltrables... Comme cela a été dit les systèmes sont très complexes et si le système de sureté plante ca devient vite moche. Voyez en 1986 quand des opérateurs ont outrepassé toutes les règles de sécurité concues pour éviter que les brèches de conception des RBMK (réacteur uranium graphite soviétique/russe) ne s’expriment (coeficient de réactivité positif, donc pas d’autorégulation du réacteur)...
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
Ajouter une réaction
Pour réagir, identifiez-vous avec votre login / mot de passe, en haut à droite de cette page
Si vous n'avez pas de login / mot de passe, vous devez vous inscrire ici.
FAIRE UN DON
