( 1 Vote ) 

Stuxnet ou la guerre 2.0(source l'informaticien10/10)

Guerre_virus

Jamais vu! Inouï! Exceptionnel! Les qualificatifs les plus dithyrambiques accompagnent l'arrivée du ver Stuxnet, potentiellement capable de détruire une centrale nucléaire ou un pipeline. Cette fois-ci, il semble que la catastrophe ait été évitée.Mais jusqu'à quand ? Bienvenue dans la cyber guerre.on le soupçonnait.Certains diront qu'ils le savaient. La confirmation définitive a été publiée voici quelques semaines dans la très sérieuse revue Foreign Affairs, sous la plume du secrétaire d'Ëtal américain à la Défense, William J. Lynn: le Pentagone a bien subi une attaque majeure duranl l'automne 2008 et des informations classi fiéesont été dérobées. L'attaque est d'abord survenue au travers d'une clé USB infectée sur un ordinateur portable situé dans une base du Moyen-Orient. M. Lynn précise que la clé a été placée par une agence étrangère et le code s'esl propagé

centrifugeusedenatanz

dans les réseaux internes du Pentagone pour se retrouver sur des systèmes classifiés et non classifiés. La réponse menée par le Pentagone s'est intitulée Opération Buckshot Yankee et a marqué une nouvelle étape dans la stratégie de cyber défense des fJats -Unis. Il a fallu plus d'un an aux services américains pour se débarrasser totalement du ver et mettre en place une nouvelle stratégie en matière de cybersécurité.

 

 

  une nouvelle étape a été franchie avec le ver Stuxnet, dont tout le monde s'accorde à dire qu'il s'agit d'une rupture franche avec tout ce qui avait été vu précédemment dans le domaine. De l'avis général, Stuxnet est très probablement l'oeuvre d'un Ëtat au travers de ses services de renseignement, car il semble impossible à un hacker ou un groupe de hackers - aussi doués soient-ils - d'avoir intégré tant de technologies au sein d'un même code. Interrogé sur l'implication d'un pays dans la création de ce virus, Eugene Kaspersky, président de la société éponyme, répond par un _Most probably. qui laisse peu de place à l'incertitude.Arthur Coviello, PDG de RSA, confirme ce sentiment, de même que tous les spécialistes que nous avons pu interroger au cours des Assises de la Sécurité de Monaco, ou durant la dernière RSA Conférence, à Londres.A ce jour, plusieurs éditeurs de solutions anti-virus ont posté des analyses sur Stuxnet,analyses que nous détaillons ci-après. Mais aucun d'entre eux ne l'a, pour le moment,décodé intégralement.

une-cyberguerre-en-attendant-la-vraie-pirate-informatique-logo-211758_1165

Dans un rapport trèscomplet publié au mois d'octobre, Symantec décrit Stuxnet comme une menace incroyablement large et complexe, les auteurs assurant que ce malware est l'un des plus sophistiqués qu'ils ont eu à étudier. contrairement aux virus qui cherchent à dérober des informations - numéros de cartes de crédit, données personnelles -, Stuxnet vise une cible très précise: les systèmes SCAD (Supervisory Control and Data Acquisition) Siemens S7-300 et S7-400. De l'avis général, Stuxnet a nécessité des mois voire des années de développement à une équipe de plusieurs personnes, toutes de très haut niveau. OécoLNert cet été, Stuxnet se répandrait depuis plus d'un an.De dangereux précédents De manière certaine, Stuxnet a visé différentes centrales électriques, en particulier en Iran, qui semble être le pays le plus touché. Les autorités iraniennes ont reconnu que des installations avaient été affectées mais que rien n'avait été endommagé. On n'attendait pas d'aulre réponse de la part du gouvernement iranien, qui ne peul évidemment pas reconnaître que ses centrales ont été louchées, plus ou moins gravement. Cependant. différents experts en sécurité el spécialistes des virus parmi les plus renommés estimenl - anonymement - que la probabilité d'une attaque réussie esl forle. Dans quelles proportions?Le mystère demeure. La centrale nucléaire de Bushehr a-t-elle été gravement détériorée? On ne le saura que dans les mois à venir.Aux Ëlals-Unis. lors de l'explosion de la conduite de gaz de San Bruno, près de SanFrancisco, au mois de septembre dernier,la police a saisi les données des ordinateurs SCAOA qui pilotent le système, car l'hypothèse Stuxnet a été évoquée parmi d'autres. Quant à la marée noire qui est survenue dans le Golfe du Mexique, rien ne permet d'affirmer que Stuxnet en soit la cause.Toutefois, il est avéré que la plateforme pétrolière était équipée de systèmes Siemens visés par l'attaque.Stuxnet n'est pas le premier malware à s'attaquer à des systèmes SCAOA. Plusieurs phénomènes ont été enregistrés ces dernières années, consécutifs à des erreurs de programmes informatiques, erreurs favorisées ou non par la présence d'un malware.Ainsi, une usine au Texas a explosé en 2005,faisant 15 morts, plus d'une centaine de blessés el 1,5 milliard de dégâts, à cause d'une erreur sur une sonde de pression. Plus récemment, une erreur informatique dans la gestion de la pression a généré de gigantesques inondalions dans le New Jersey. En 2003, le ver Slammer avait contaminé un sile nucléaire. Le ver Nachi a touché les automates bancaires Diebold.  le verEn 2005, Zolob a provoqué l'arrêt de treize usines d'assemblage de véhicules. En 2007 des hackers ont réussi la prise de contrôle des feux de signalisation en Californie, à l'image de ce qui se passe dans le film Braquage à l'italienne. En 2007, des ingénieurs ont réussi la destruction expérimentale d'un générateur électrique supposé être totalement isolé du reste du réseau. Bref, et ainsi que nous l'avait déjà expliqué M. Kaspersky voici deux ans, le scénario du film Die Hard 4 est devenu hautement probable.Une bombe logique Stuxnet vise les installations industrielles comme des pipelines pétroliers ou encore des centrales électriques, nucléaires notamment.Une fois qu'il a réussi à pénétrer ces systèmes, son objectif ultime est de reprogrammer les systèmes de contrôle industriels en modifiant le code des contrôleurs logiques (PLC) de manière à fonc tionner comme le souhaite l'attaquant tout en masquant ces modifications. Pour arriver à cette attaque ultime, Stuxnet exploite une série impressionnante de composants que nous allons détailler maintenant.Le ver a été découvert au mois de juin mais tous les chercheurs pensent qu'il existe depuis la fin de l'année 2009 au moins. A ce jour, il aurait infecté plus de 100000 systèmes informatiques dans le monde dont une très grande majorité en Iran, mais égaIement en Indonésie et en Inde.Outre la très grande précision de son code,Stuxnet attaque une configuration très précisa du système Simatic de Siemens, ceci signifiant que les concepteurs du virus savaient très précisément qui ils visaient et disposaient d'une connaissance très pointue du système ciblé. Trois mois après sa découverte,les ingénieurs qui ont procédé à un reverse engineering . du code sont convaincus qu'un Ëtat est derrière cette attaque.Une autre  faille. g-day Stuxnet se distingue en premier lieu par sa taille - 500 Ko - et dispose de caractéristi ques jamais vues au préalable. La première nouveauté est la présence de pas moins de quatre failles O-day, c'est-à-dire des failles qui n'ont pas été corrigées par le concepteurdu programme. l'une de ces failles est utilisée pour propager le programme au tra vers d'une clé USB. Une deuxième exploite une faille dans le spooler d'impression de Windows pour que le ver se propage au travers d'un réseau local. Les deux dernières sont destinées à gagner des privilèges d'administrateur au sein des machines infectées et ainsi procéder aux modificationsde codes dans les systèmes SCAOA.La deuxième caractéristique est la présence de signatures de codes dérobés à deux entreprises, ce qui explique notamment pourquoi le programme a longtemps été non détecté par les logiciels anti-virus.Enfin, sa méthode de propagation peut varier selon l'état du serveur sur lequel il se trouve, pouvant utiliser un réseau pair à pair pour se propager. Toutes ces caractéristiques,hautement sophistiquées, signifient que le virus a été créé par de nombreuses personnes disposant de comSlUXNETvol-identite-1600x1200

le virus est capable d'envoyer des commandes désactivant les systèmes non corrompus• en supprimant les différentes alarmes afin de s'assurer que L'attaque sera menée à son terme. Principale cible:la centrifugeuse de Natanz Parmi les sites visés, les médias se sont focalisés sur le réacteur nucléaire de Bushehr. Pourtant, d'autres estiment que la principale cible est la centrifugeuse de Natanz, dont l'objectif est d'enrichir de l'uranium à des fins militaires,. Signalons que le site Wikileaks, qui a fait parler de lui pour avoir divulgué une quantité impressionnante de secrets militaires, a indiqué cet été un Incident sérieux sur le site de Nalanz. Finalement, ce qui inquiète le plus les spécialistes est la très probable existence de V6fS ou virus identiques, voire supérieurs à Stuxnet et qui n'ont pas encore été découverts. Cela a été réalisé une fois. Il n'y a aucune raison que la chose ne se reproduise pas prochainement, avec un degré de sophistication et de dangerosité encore plus élevé. Lorsque l'on demandait à Albert Einslein de quoi serait fait la Troisième Guerre mondiale, il déclarait n'en rien savoir mais que la quatrième se déroulerait avec des gourdins et des pierres. Nous n'en sommes heureusement pas encore là, mais tout le monde s'accorde à reconnaître qu'un palier décisif a été franchi avec Stuxnet dans ce qu'il convient d'appeler la cyber guerre.

Stéphane Larcher

Le tout premier exercice de sécurité de l'UE Cyber jamais, «Cyber Europe 2010» avec 320 «incidents» a été conclu avec succès hier(source enisa.europa.eu )


Recherchez !

Connexion

Qui est en ligne ?

Nous avons 62 invités et aucun membre en ligne

Nous sommes sur Facebook