Spécial sécurité : le papa de Stuxnet est prié de se présenter…

Aujourd'hui, nos confrères de CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information, remontent aux origines de la création de Stuxnet, puis ironisent sur l’histoire d’un passager qui est parvenu à passer les pourtant drastiques mesures de sécurité aéroportuaires des Etats-Unis avec une arme dans sa mallette. Ils pointent enfin du doigt la dangerosité aigue d’une faille chez Oracle.

Sommaire
1 - Le papa de Stuxnet est prié de se présenter…
2 - Le transport d’arme enfin autorisé sur les lignes aériennes (ou presque)
3 - Oracle : exploitable à distance sans authentification ?

1 - Le papa de Stuxnet est prié de se présenter…
Petit rebondissement dans le roman Stuxnet. Selon nos confrères du New York Times, l’on apprend au fil d’un très long article de 4 pages que Stuxnet serait le fruit des amours techniques entre Israël et les Etats-Unis, et que l’infection aurait encore assez de ressources pour se réveiller une nouvelle fois. Mieux encore, les dégâts provoqués sur les centrifugeuses Iraniennes seraient largement sous-estimés.

L’origine de Stuxnet remonte, nous explique le NYT, à 2008, date à laquelle l’Idaho National Laboratory et Siemens auraient effectué des travaux de recherche en commun précisément sur les vulnérabilités des logiciels et matériels de contrôle de processus du constructeur Allemand. Travaux ayant débouché notamment sur une publication et une conférence tenue à Chicago lors du « 2008 Automation Summit » (La présentation s’étend sur 62 pages). La suite n’est qu’affaire d’écriture de programme.

Et c’est un certain monsieur Langner, patron d’une petite entreprise de sécurité Allemande, qui sera le premier à analyser le code de Stuxnet et à remarquer que ledit code ne visait qu’une configuration très particulière d’infrastructure, comptant très exactement 984 machines reliées entre elles… configuration identique à celle du centre Iranien de Natanz. Faut-il voir dans l’exercice de numérologie de monsieur Langner un indice sérieux ou l’interprétation d’un verset de Michel de Notre Dame ?

Et l’analyse du quotidien New-Yorkais continue, expliquant comment la partie active de Stuxnet aurait été développée. Il aura fallu, explique l’auteur de l’article, qu’Israël et les Etats Unis (en collaboration avec la Grande Bretagne à un moment donné) mettent tout d’abord la main sur quelques modèles de centrifugeuses de type P1 (celles utilisées à Natanz), puis parviennent à les faire fonctionner, ce qui ne semble pas être franchement évident. Tout çà pour enfin réussir à tester l’efficacité du virus en grandeur réelle. Travail insurmontable presque, compte tenu de l’instabilité naturelle et des défauts de conception endémiques de ce type de centrifugeuse. En tout, un seul modèle aurait pu « tomber en marche » assez longtemps pour permettre le bon déroulement des essais. Et c’est probablement là le point qui soulève le plus de question : le taux d’efficacité réel de Stuxnet comparé au MTBF des centrifugeuses en temps normal. Certes, une action de cyber-guerre vise avant tout les éléments les moins fiables installés dans une infrastructure adverse. Mais fallait-il autant de sueur, de recherches, d’opérations militaires, de collaborations internationales pour provoquer une panne sur un matériel que les experts eux-mêmes considèrent comme passant son temps en maintenance ?

Chaque chapitre de la série Stuxnet Saison 1 apporte à ses spectateurs son lot de réponses aux épisodes précédents, sa dose de suspens, et quantité de nouvelles interrogations, de nouveaux doutes. A ce rythme-là, les producteurs (CIA, Mossad, MI6 etc.) ainsi que leurs sponsors et attachés de presse (éditeurs d’antivirus notamment) devraient pouvoir espérer tenir aussi longtemps qu’une saga du calibre de Lost, 24H ou House,M.D.. En une ligne, Bruce Schneier rappelle que toutes ces théories n’invalident pas l’hypothèse d’une filière Chinoise.

2 - Le transport d’arme enfin autorisé sur les lignes aériennes (ou presque)
Mieux encore que le « buzz » de Linda Bendali et Mathieu Lere, le TSA, autorité suprême en matière de transport aérien aux Etats-Unis, reconnaît avoir laissé passer un homme armé sur un vol en partance de Houston. Farid Seif, businessman Américano-Iranien, aurait « oublié » de retirer son Glock chargé de la mallette qu’il comptait emporter en cabine. La présence de l’artillerie n’aurait pas éveillé le moindre soupçon de la part du personnel chargé de la surveillance des bagages à main. Le DHS, département de la sécurité intérieur des USA, effectuerait régulièrement des tests de ce type, mais refuse, précisent nos confrères d’ABC News, d’en donner les résultats.

L’histoire ne dit pas si les vaillants cerbères de l’aéroport de Houston, Texas, pays réputé pour ses cowboys et ses représentants de la NRA, ont demandé à monsieur Farid Seif d’ôter ses chaussures et de jeter ses bouteilles d’eau. Il y a des limites aux manquements de sécurité que même un journaliste d’ABC News doit savoir passer sous silence.

3 - Oracle : exploitable à distance sans authentification ?
Un résumé de la CPU Oracle de janvier vient d’être publiée. Parmi les nombreux trous colmatés, l’on remarque un « Oracle Audit Vault » qui décroche un score CVSS de 10.0, qui dénote un degré de dangerosité et de probabilité d’exploitation très élevé. Idem pour la suite Open Office Oracle qui affiche un indice de vulnérabilité CVSS de 9.3.

Pour approfondir sur Menaces, Ransomwares, DDoS