AccueilđŸ‡«đŸ‡·Chercher

Stuxnet

Stuxnet est un ver informatique dĂ©couvert en 2010 qui aurait Ă©tĂ© conçu[1] par la National Security Agency (NSA) en collaboration avec l'unitĂ© israĂ©lienne 8200 pour s'attaquer[2] aux centrifugeuses iraniennes d’enrichissement d'uranium. Le programme a commencĂ© sous la prĂ©sidence de George W. Bush et a continuĂ© sous la prĂ©sidence de Barack Obama[3]. Il fait partie de l'opĂ©ration Olympic Games, et ses caractĂ©ristiques le classent parmi les APT.

Stuxnet
Description de l'image StuxNet 1.png.
Informations
Type Ver informatique
Point d'isolement VirusBlokAda
Auteur National Security Agency
SystÚme(s) d'exploitation affecté(s) Windows

Spécifique au systÚme Windows, il a été découvert en par VirusBlokAda, société de sécurité informatique basée en Biélorussie. La complexité du ver est trÚs inhabituelle pour un logiciel malveillant. Il a été décrit par différents experts comme cyber arme, conçue pour attaquer une cible industrielle déterminée[4]. Il s'agirait d'une premiÚre dans l'histoire[5].

C'est le premier ver découvert qui espionne et reprogramme des systÚmes industriels[6], ce qui comporte un risque élevé. Il cible spécifiquement les systÚmes SCADA utilisés pour le contrÎle commande de procédés industriels. Stuxnet a la capacité de reprogrammer des automates programmables industriels (API)[7] - [8] produits par Siemens et de camoufler ses modifications. Les automates programmables Siemens sont utilisés tant par quelques centrales hydro-électriques ou nucléaires que pour la distribution d'eau potable ou les oléoducs[9].

Le ver a affectĂ© 45 000 systĂšmes informatiques, dont 30 000 situĂ©s en Iran, y compris des PC appartenant Ă  des employĂ©s de la centrale nuclĂ©aire de Bouchehr. Les 15 000 autres systĂšmes informatiques sont des ordinateurs et des centrales situĂ©s en Allemagne, en France, en Inde et en IndonĂ©sie[9], utilisateurs de technologies Siemens.

Mode d'attaque

Il a Ă©tĂ© signalĂ© pour la premiĂšre fois par la sociĂ©tĂ© de sĂ©curitĂ© VirusBlokAda mi-, et des antĂ©cĂ©dents ont Ă©tĂ© retracĂ©s jusqu’à .

Le virus s’attaque aux systĂšmes Windows Ă  l’aide de quatre attaques « zero day » (y compris la vulnĂ©rabilitĂ© CPLINK (en) et la vulnĂ©rabilitĂ© exploitĂ©e par le ver Conficker) et vise les systĂšmes utilisant les logiciels SCADA WinCC/PCS 7 de Siemens.

Le virus est probablement inoculĂ© par la mise Ă  jour d'un virus dĂ©jĂ  installĂ© sur les ordinateurs cibles ; il contamine ensuite d’autres ordinateurs WinCC du rĂ©seau Ă  l’aide d’autres dĂ©fauts natifs de structure des systĂšmes (exploits). Une fois dans le systĂšme, il utilise les mots de passe par dĂ©faut pour faire des requĂȘtes au logiciel[7]. Siemens dĂ©conseille cependant de changer les mots de passe par dĂ©faut car « cela pourrait affecter le bon fonctionnement de l’usine »[10].

La complexitĂ© du ver est inhabituelle pour un malware : l’attaque demande des connaissances en procĂ©dĂ©s industriels et en failles de Windows Ă  un moment donnĂ©, et marque la volontĂ© de perturber des infrastructures industrielles[7] - [6]. Le nombre d’exploits Windows « zero day » utilisĂ©s est Ă©galement inhabituel : ces exploits non dĂ©couverts, rares et prĂ©cieux, ne sont en effet pas normalement gaspillĂ©s par les pirates au point d'en mobiliser quatre dans le mĂȘme ver[11]. Stuxnet a une taille d’un demi-mĂ©gaoctet et est Ă©crit dans diffĂ©rents langages de programmation (y compris C et C++) ce qui est Ă©galement peu courant pour un malware[7] - [6].

L'Iran, cible d'une cyber-attaque israélienne ?
Carte des principales installations nucléaires iraniennes.

Un porte-parole de Siemens a indiquĂ© que le ver avait Ă©tĂ© trouvĂ© sur 15 systĂšmes dont 5 sont situĂ©s en Allemagne dans des usines abritant des systĂšmes de contrĂŽle de processus industriels. Siemens indique qu’aucune infection active n’a Ă©tĂ© dĂ©couverte et qu’aucun dommage causĂ© par le ver n’a Ă©tĂ© signalĂ©[12]. Symantec indique que la plupart des systĂšmes infectĂ©s sont en Iran[13] (prĂšs de 30 000 sur 45 000 ordinateurs infectĂ©s[14]), ce qui a conduit Ă  penser qu’il avait pu viser dĂ©libĂ©rĂ©ment une « infrastructure de grande valeur » en Iran, vraisemblablement liĂ©e au programme de recherche nuclĂ©aire[11]. Ralph Langner, un chercheur en cyber sĂ©curitĂ© allemand, indique que la cible visĂ©e a probablement Ă©tĂ© atteinte[15].

L'Iran a accusĂ© un État ou une organisation Ă©trangĂšre de l'avoir dĂ©libĂ©rĂ©ment visĂ©[9]. L'analyste Bruce Schneier a qualifiĂ© d'intĂ©ressante l'hypothĂšse selon laquelle la centrale nuclĂ©aire de Bouchehr aurait Ă©tĂ© visĂ©e, tout en considĂ©rant qu'il manquait de preuves[16]. L'Iran a indiquĂ© que dans la mesure oĂč les ordinateurs d'employĂ©s de la centrale avaient Ă©tĂ© touchĂ©s, la centrale l'avait aussi Ă©tĂ©[9]. DĂ©but , Ă  l'occasion d'un article sur l'UnitĂ© 8200, section elle-mĂȘme de l'Aman, le service de renseignement militaire israĂ©lien, Le Figaro Ă©crivait :

« Des indices découverts dans les algorithmes du programme Stuxnet, ayant infecté, entre autres, les systÚmes informatiques iraniens, feraient référence à l'héroïne biblique Esther. Les liens éventuels entre cette offensive virtuelle et Israël ne seront sans doute jamais prouvés, mais la suspicion des milieux du renseignement est forte[17]. »

En , des chercheurs de Symantec et de Langner Communications ont affirmé que le ver visait les systÚmes de contrÎle des turbines à vapeur tels que ceux utilisés à la centrale nucléaire de Bouchehr et des éléments clés de centrifugeuses[18]. En effet, le virus aurait modifié à l'insu des opérateurs de la centrale les vitesses de rotation des centrifugeuses entraßnant une dégradation de celles-ci[19] et des explosions[20]. Des chercheurs de Symantec avaient également indiqué auparavant que Stuxnet avait une date « de destruction » fixée au [16].

Le gĂ©nĂ©ral israĂ©lien Gabi Ashkenazi a affirmĂ©, lors de son dĂ©part Ă  la retraite, ĂȘtre le responsable de l'attaque par le ver Stuxnet[21].

La Russie a dĂ©noncĂ© une coopĂ©ration entre les États-Unis et IsraĂ«l pour la crĂ©ation de ce ver et a dĂ©clarĂ© que ce projet aurait pu aboutir Ă  une catastrophe plus grande que celle de Tchernobyl. Elle a demandĂ© Ă  l'OTAN d'enquĂȘter sur cette affaire[22]. Une enquĂȘte approfondie du New York Times confirme d'ailleurs cette hypothĂšse de coopĂ©ration Ă  fins malveillantes amĂ©ricano-israĂ©lienne[23].

Analyse de Stuxnet

En , Symantec publie une analyse complĂšte de Stuxnet. Les spĂ©cialistes estiment qu'il a fallu six mois de dĂ©veloppement et une Ă©quipe de cinq Ă  dix personnes pour Ă©crire le programme, dont au moins un ingĂ©nieur connaissant parfaitement les Ă©quipements industriels visĂ©s[24]. Microsoft, quant Ă  lui, estime que le temps nĂ©cessaire pour crĂ©er Stuxnet a Ă©tĂ© de « 10 000 jours homme », sans compter l'Ă©quipe qui a volĂ© les certificats Verisign de Realtek Semiconductor Corps et JMicron Technology Corp Ă  TaĂŻwan, ainsi qu'une Ă©quipe en Iran qui a vraisemblablement fourni les renseignements nĂ©cessaires Ă  cette opĂ©ration[24].

Le programme est trĂšs complexe et extrĂȘmement bien Ă©crit, ce qui montre une volontĂ© hors du commun pour parvenir au but recherchĂ©, et exclut que ce soit le travail d'un groupe privĂ©.

L'architecture du programme est trÚs complÚte pour un ver informatique, elle comporte différentes parties :

Protection

Le ver est capable de s'exĂ©cuter en trompant un processus du cƓur de Windows (Ntdll.dll[25]), et en leurrant les anti-virus les plus connus. Il possĂšde aussi des portions chiffrĂ©es qui interdisent toute lecture du virus non chargĂ© en mĂ©moire. Une particularitĂ© intĂ©ressante est qu'il ne s'attaque pas aux ordinateurs qui possĂšdent l'antivirus ETrust v5 et v6.

Propagation

L'ordinateur portable a rĂ©cupĂ©rĂ© l'infection en se connectant Ă  un ordinateur infectĂ© de l'usine avant de propager lui-mĂȘme cette infection Ă  tout le pays et Ă  l'Ă©tranger en se connectant Ă  internet (dans un cadre externe Ă  l'usine qui fonctionne, pour sa part, en rĂ©seau fermĂ©).

D’aprĂšs EugĂšne Kaspersky, le ver a Ă©galement infectĂ© le systĂšme d’une usine nuclĂ©aire en Russie. L’étanchĂ©itĂ© du rĂ©seau de l’usine a toutefois permis d’épargner l’infection du rĂ©seau public russe[26].

Installation

Le ver, une fois exécuté avec succÚs sur un ordinateur encore sain, va s'installer. Pour ce faire, il utilise deux autres failles, encore inconnues par Microsoft au moment de la création de Stuxnet, pour obtenir les droits administrateur.

  • La premiĂšre a Ă©tĂ© rĂ©fĂ©rencĂ©e et corrigĂ©e par Microsoft sous le no MS10-073. Cette faille fonctionne Ă  l'aide d'un layout de clavier incorrect spĂ©cialement codĂ©.
  • La seconde est une faille dans l'ordonnanceur de tĂąche, et ne possĂšde pas encore de patch au moment de l'analyse de Symantec en .

Ces deux failles permettent d'exécuter du code arbitraire avec les droits administrateur. Une fois les droits obtenus, le ver installe les composants suivants :

  • Deux rootkits qui lui permettent de s'exĂ©cuter au dĂ©marrage, de leurrer les protections anti-virus et de se copier sans se faire dĂ©tecter sur les disques amovibles comme les clĂ©s USB (grĂące au vol des certificats Verisign).
  • Une procĂ©dure de rĂ©installation, si une de ses ressources est effacĂ©e.
  • Sa charge utile pour attaquer les Ă©quipements Siemens visĂ©s : cette partie spĂ©cifique, extrĂȘmement complexe, comporte deux sous-parties : une procĂ©dure de leurre des outils de monitoring, et une procĂ©dure de contrĂŽle du logiciel Siemens.
  • Un serveur pour envoyer et recevoir des informations et des donnĂ©es : sa premiĂšre action est de communiquer avec deux serveurs de contrĂŽle : www.mypremierfutbol.com et www.todaysfutbol.com
  • Un mĂ©canisme complexe de mise Ă  jour pour exĂ©cuter le nouveau code reçu via ces serveurs si besoin.
  • Un mĂ©canisme de dĂ©sinstallation.
  • Un mĂ©canisme P2P de mise Ă  jour si une nouvelle version est disponible sur un autre ordinateur infectĂ©.

Outil de suppression

Le , Siemens met à disposition de ses clients un outil capable de détecter et de supprimer le ver[27].

Le , Microsoft annonce le Bulletin de sécurité MS10-046[28].

Le , un outil de suppression est mis Ă  disposition par FSB Security Labs en France[29].

Le , un outil de suppression est mis Ă  disposition par BitDefender.

Bibliographie
  • (en) Kim Zetter (en), Countdown to Zero Day: Stuxnet and the Launch of the World's First Digital Weapon, Crown Publishing Group (en), 2014, (ISBN 978-0-77043-6179)

Notes et références
  1. (en) David E. Sanger, « Obama Ordered Wave of Cyberattacks Against Iran », The New York Times,‎ (lire en ligne).
  2. (en) James Bamford, « NSA Snooping Was Only the Beginning. Meet the Spy Chief Leading Us Into Cyberwar », Wired,‎ (lire en ligne).
  3. (en) David E. Sanger, « Obama Order Sped Up Wave of Cyberattacks Against Iran », The New York Times, (consulté le ).
  4. (en)« This is the first direct example of weaponized software, highly customized and designed to find a particular target. », Stuxnet malware is 'weapon' out to destroy
 Iran's Bushehr nuclear plant?
  5. (en)« Researchers at Symantec [
] say it is the first worm built not only to spy on industrial systems, but also to reprogram them. », « Siemens: Stuxnet worm hit industrial systems »(Archive.org ‱ Wikiwix ‱ Archive.is ‱ Google ‱ Que faire ?) (consultĂ© le )
  6. (en) Robert McMillan, « Siemens : Stuxnet worm hit industrial systems »(Archive.org ‱ Wikiwix ‱ Archive.is ‱ Google ‱ Que faire ?), Computerworld, (consultĂ© le ).
  7. Gregg Keizer, « Is Stuxnet the 'best' malware ever? » [archive du ], InfoWorld, (consulté le )
  8. Steven Cherry, with Ralph Langner, « How Stuxnet Is Rewriting the Cyberterrorism Playbook », IEEE Spectrum,
  9. (en) Thomas Erdbrink et Ellen Nakashima, Iran struggling to contain 'foreign-made' computer worm, The Washington Post,
  10. (en) Tom Espiner, « Siemens warns Stuxnet targets of password risk », cnet, (consulté le ).
  11. (en) Jonathan Fildes, « Stuxnet worm ‘targeted high-value Iranian assets’ », BBC News, (consultĂ© le ).
  12. (en) crve, « Stuxnet also found at industrial plants in Germany », The H (en), (consultĂ© le ).
  13. (en) Robert McMillan, « Iran was prime target of SCADA worm », Computerworld, (consulté le ).
  14. (en) Ellen Nakashima, U.S. power plants at risk of attack by computer worm like Stuxnet, The Washington Post,
  15. (en) Mark Clayton, « Stuxnet malware is ‘weapon’ out to destroy
 Iran’s Bushehr nuclear plant? », The Christian Science Monitor, (consultĂ© le ).
  16. (en) Bruce Schneier, « Schneier on Security : The Stuxnet Worm », (consulté le ).
  17. Adrien Jaulmes, « Cyberattaques en Iran : une unité israélienne suspectée », Le Figaro, (consulté le )
  18. (en) Glenn Kesler, Computer worm may have targeted Iran's nuclear program, The Washington Post,
  19. « Nos émissions », sur Public Senat (consulté le ).
  20. Yves Eudes, « Flame, un virus espion d'Etat », Le Monde,‎ (lire en ligne).
  21. Olivier Robillart, « Un gĂ©nĂ©ral israĂ©lien affirme ĂȘtre le « pĂšre » de Stuxnet », sur www.clubic.com, (consultĂ© le ).
  22. http://nanojv.wordpress.com/2011/01/28/stuxnet-rosatom-bushehr-123/.
  23. (en) David E. Sanger, « Obama Order Sped Up Wave of Cyberattacks Against Iran », The New York Times, (consulté le ).
  24. Analyse complÚte de Stuxnet publié par Symantec (en) [PDF]
  25. What is the ntdll.dll file ? ComputerHope.com
  26. (en) David Shamah, « Stuxnet, gone rogue, hit Russian nuke plant, space station », The Times of Israel,‎ (lire en ligne)

Voir aussi

Source originale partielle

Articles connexes

Liens externes
Cet article est issu de wikipedia. Text licence: CC BY-SA 4.0, Des conditions supplĂ©mentaires peuvent s’appliquer aux fichiers multimĂ©dias.