StuxNet , le malware qui a fait trembler les géants !

Par Hamza Kondah - jeu nov 24, 1:48

stuxnet-iran-israel-sipa-apCe fut le buzz de l’année  , bien  qu’il existe plusieurs articles traitant ce sujet , mais je ne put résister a la tentation  d’écrire un article sur le petit malware , qui a fait trembler tant de géant et a fait des dégât dont personne ne saura l’étendue, ce mawlare dont l’origine et les développeurs sont toujours un mystère pour tous le monde…Mesdames et Messieurs je vous présente… StuxNet !

La plus importante chose qu’il faut retenir de l ‘année précédant c’est bien  ce qui a fait le buzz médiatique mais aussi un KAO considérable , je parle bien sure de StuxNet …J’essayerai de vous présenter les nombreux rebondissements de ce dernier .Virus d’origine militaire ou civile ,..par but d’attaquer le système nucléaire de l’Iran , nous essayerons de parler en bref de rumeurs vrai ou fausses , et d’expliciter le fonctionnement de ce dernier et son historique .

Stuxnet est un malware très complexe fabriqué pour  saboter le fonctionnement  de certains systèmes pionnier. Le  principe de sabotage de ce dernier contrairement au rumeurs se veut être très très discret . Pour pénétrer sa cible, Stuxnet exploite pas moins de quatre vulnérabilités ciblant différentes versions de Windows, ainsi que la célèbre vulnérabilité MS08-067 corrigée il ya maintenant plusieurs années.

Pour accéder rapidement jusqu’à sa cible, le malware utilise aussi un mot de passe défini par défaut au sein de certains systèmes SCADA (Supervisory Control And Data Acquisition) présant sur les centrale nucléaire , base pétrolière et autre . Ce dernier repose sur le logiciel Siemens SIMATIC WinCC.

Grâce à l’ensemble des travaux effectués par les différents chercheurs s’intéressant au malware, le rôle de Stuxnet a pu être éclairci. Le code malveillant agit en plusieurs étapes : premièrement, un support de stockage amovible est utilisé pour compromettre un système sur un réseau local. Une fois présent sur un réseau, le malware se réplique de proche en proche jusqu’à découvrir un point d’accès à sa cible : un système sur lequel est installé WinCC. Deuxièmement, lorsqu’une telle cible est découverte, le comportement des différents éléments contrôlant l’architecture visée est modifié afin d’altérer physiquement l’intégrité du système de production industrielle. Dans le cas de Stuxnet, il s’agit de modifier le fonctionnement normal de certains systèmes critiques en manipulant leurs contrôleurs.

Il a été signalé pour la première fois par la société de sécurité VirusBlokAda (en) mi-juin 2010, et des antécédents ont été retracés jusqu’à juin 2009. Dernièrement un officier israélien a déclaré, durant une fête célébrée pour son départ en retraite, que le virus était une création israélienne.

 

La théorie du Times

Un article publié par le New York Times le 16 janvier décrit, pour la première fois, depuis le début de cette affaire un scénario plausible. Même si ce scénario repose plus sur une concordance entre des

évènements et des faits que sur des preuves tangibles,ces auteurs ont le mérite d’avoir été parmi les premiers à officiellement mettre des noms sur les différents protagonistes. Il est donc à prendre avec précaution, et n’engage que les journalistes auteurs de l’article du NY Times. Dans ce scénario, les États-Unis auraient mis en place un plan en vue de freiner l’Iran dans sa course à l’arme nucléaire. D’après les journalistes, le président Bush aurait donné son accord un mois avant la fin de son

mandat en janvier 2009 au lancement d’un programme secret visant à saboter les systèmes

électriques et informatiques du principal centre d’enrichissement d’uranium de Natanz. Dès le début de son mandat, Barack Obama, qui avait été mis au courant de cela avant de prendre ses fonctions

accéléra le déroulement de ce programme sur les conseils des personnes proches du dossier iranien.

Toujours d’après les journalistes du New York Times, ce programme reposerait sur le travail réalisé par un laboratoire de l’INL (l’Idaho National Laboratory) en partenariat avec la DHS (Department of Homeland

Security) et Siemens. En effet, au cours de l’année 2008, Siemens aurait confié pour mission à l’INL de tester la sécurité de son logiciel Step7 utilisé pour contrôler un ensemble de systèmes industriels (outils,sondes, etc.) à l’aide de contrôleurs tels que le PCS7(Process Control System 7). Les résultats obtenus, incluant de nombreuses failles de sécurité, ont ainsi été présentés en juillet dans le cadre d’une conférence qui se tenait à Chicago. Quelques mois plus tard, la diplomatie américaine a

réussi à instaurer un embargo sur certains composants nécessaires au bon fonctionnement d’un centre d’enrichissement d’uranium. En effet, d’après un câble diplomatique révélé par Wikileaks, 111 contrôleurs Siemens nécessaires au contrôle d’une cascade d’enrichissement d’uranium ont ainsi été bloqués en avril 2009 dans le port de Dubaï aux Émirats Arabes Unis.Fin 2010, l’ISIS (Institute for Science and International Security) rapporte que 984 contrôleurs défectueux on tété remplacés à la fin de l’année 2009 d’après unr apport des inspecteurs de l’AIEA. Bizarrement, ce chiffre correspond exactement au nombre de contrôleurs Siemens composant une cascade d’enrichissement. Néanmoins, quel est le rapport entre ces 984 contrôleurs défectueux et Stuxnet ? En effet, leur remplacement a eu lieu entre la fin 2009 et le début de l’année 2010, alors que Stuxnet aurait fait sa première apparition publique début 2010 sans qu’il soit encore identifié.L’article présente Israël comme un allié principal des États-Unis dans la fabrication et le test de ce malware.En effet, ce « petit » pays très en avance dans les domaines technologiques et de la cyberguerre en particulier, aurait construit une réplique du centre d’enrichissement de Natanz dans son propre centre de recherche nucléaire : Dimona. Deux raisons sont apportées par les journalistes pour cette alliance. Parmi

les autres alliés des Américains, aucun dʼentre eux n’aurai t été en mesure de faire fonctionner

correctement les centrifugeuses IR-1, dérivées des P-1 pakistanaises, elles-mêmes copiées d’après les plans de la G-1 allemande dérobés par le docteur en physique Abdul Qadeer Khan (père de la bombe nucléaire pakistanaise, responsable d’un réseau spécialisé dans la vente de matériel nucléaire ayant aidé à la prolifération de technologie sensible vers l’Iran, la Corée du Nord, ou encore la Libye.). La seconde raison étant qu’Israël cherche ouvertement, et ce depuis fort longtemps, à empêcher l’Iran d’accéder à la force nucléaire. Des câbles diplomatiques révélés par Wikileaks ont d’ailleurs montré que le pays entretenait des relations fortes à ce sujet avec les États-Unis.

 

Selon les auteurs de cet article, d’autres informations permettraient de comprendre l’ampleur de ce

programme américain. Massoud Ali Mohammadi, un spécialiste du nucléaire iranien aurait été tué en janvier 2010 par l’explosion déclenchée à distance d’une bombe fixée à une moto. Le 29 novembre 2010, alors que l’Iran reconnaissait pour la première fois que Natanz avait subi des dégâts liés à Stuxnet, un second physicien, Majid Shahriari, a été victime d’un « accident » mortel similaire. À ces deux occasions, le président Mahmoud Ahmadinejad avait accusé directement les États-Unis et Israël d’être les commanditaires de ces assassinats. Après ce second évènement suspect, les Iraniens auraient alors pis la décision de « cacher » Mohsen Fakrizadeh, le troisième

(et dernier ?) spécialiste du nucléaire.

 

Les autres éléments à retenir

Le 9 juillet, le satellite indien INSAT-4B est déclaré HS. Ce satellite, utilisé aussi bien pour la transmission des télécommunications, la diffusion des flux de télévision, la météorologie ou encore pour la recherche et le sauvetage de personnes, était contrôlé par un système SCADA reposant sur des PLC Siemens S7-400 et SIMATIC WinCC. Cette annonce est survenue dans une période complexe dans les relations sino-indiennes, puisque les deux pays sont en pleine course dans le secteur de l’aérospatial afin d’être le premier pays asiatique à renvoyer un homme sur la

Lune .Alors que Symantec et d’autres éditeurs de solutions antivirales donnaient l’Iran comme principale victime deStuxnet, il a fallu attendre la mi-octobre pour que le sujet Stuxnet soit évoqué publiquement par l’Iran. Au cours de cette première intervention, le président iranien aura simplement réfuté les dommages imputés au ver au sein des infrastructures nationales. Un mois plus tard, au cours du mois de novembre, le pays reconnait pour la première fois avoir subi de « légers »problèmes ayant mené au report du lancement de la centrale de Bushehr. En réaction à cette attaque, le

gouvernement arrête alors des prestataires de services russes soupçonnés d’être des espions. Ceux-ci seront libérés par la suite. Depuis le début de l’année 2011, de nombreux autres évènements se sont ajoutés à cet historique. Symantec, en recoupant les échantillons obtenus par les différents

éditeurs de solutions antivirales du marché, a été en mesure de faire une étude statistique sur les attaques.

 

Conclusion

Stuxnet a fait beaucoup parler de lui et a été trèsmédiatisé. Les différentes théories, analyses et hypothèses formulées jusqu’à aujourd’hui ne mènent à aucune piste avec certitude, aussi bien concertant les commanditaires que la cible.Cependant, devant les différentes découvertes de plusieurs chercheurs et journalistes (Symantec, Langner, Le New York Times), l’Iran semble être ciblé, et tout particulièrement le centre d’enrichissement nucléaire de Natanz. Concernant

les commanditaires et vu la complexité de l’attaque, les moyens mis en oeuvre et les différentes informations révélées par les journalistes, Israël et les USA semblent avoir joué un rôle dans cette affaire. Il faut finalement garder à lʼesprit que chacune des informations révélées par les différents observateurs est toujours subjective…

 

Article rédigé par: Kondah Hamza – Microsoft Student Partner, Élève ingénieur & Security Addict !

 

 

 

 

 

 

Suivez le portail spécialisé dans les technologies de l'information au Maroc sur Twitter, Devenez un fan sur Facebook. Restez à jour via RSS

  • 1 Commentaire
  • Vote -1Vote +1 +5
    Loading ... Loading ...
  • 3115 vues
  • Imprimer

1 Commentaire

Commentaires 1 - 1 de 1Début« PrécSuiv »Fin
  1. 0

    Maintenons il faut plutôt parlé « Duqu »…

Commentaires 1 - 1 de 1Début« PrécSuiv »Fin

Laisser un commentaire