Le ver Stuxnet est-il la première cyber-arme ?
Découvert en juillet dernier, le ver Stuxnet ne ressemblait déjà pas à un logiciel malveillant ordinaire, cherchant à récupérer des données aisément monnayables : particulièrement sophistiqué, il vise les logiciels pour infrastructures industrielles automatisées, les Scada. Et tout particulièrement ceux de Siemens. Déjà évoquée alors, la piste du sabotage ne fait plus aucun doute, selon certains experts. Des experts qui verraient bien aujourd’hui, dans Stuxnet, une arme visant spécifiquement l’usine iranienne d’enrichissement d’uranium de Bushehr.
C’est en juillet dernier que Stuxnet a été découvert. Un ver d’un genre inédit : il exploite une faille affectant toutes les versions de Windows pour s’installer sur un ordinateur à l’insertion d’une clé USB, sans passer l’exécution du très classique script autorun.inf, mais en s’appuyant sur les mécanismes de traitement des fichiers liens (.lnk). Stuxnet installe deux pilotes : mrxnet.sys et mrxcls.sys. Tous deux embarquent des fonctions de rootkit pour masquer leurs activités au système d’exploitation. Surtout, ces deux pilotes empruntent la signature numérique de pilotes Realtek.
L’autre spécificité de Stuxnet, c’est de viser spécifiquement les infrastructures industrielles automatisées, à savoir les fameux systèmes Scada utilisés pour le contrôle centralisé des réseaux de distribution électrique ou d’eau potable, par exemple. Selon l’analyste Frank Boldewin, Stuxnet cherche, à son installation, à vérifier la présence, sur la machine qu’il vient d’infecter, des outils Simatic WinCC de Siemens, les outils Scada de l’industriel. S’appuyant sur le mot de passe d’accès aux bases de données de l’outil - défini en dur dans le logiciel et largement diffusé sur Internet, comme l’avaient relevé nos confrères de Wired -, Stuxnet dispose d’un accès complet aux données des infrastructures supervisées avec WinCC.
Le programme nucléaire iranien en ligne de mire ?
Si certains estimaient, dès juillet dernier, que Stuxnet était conçu pour le sabotage, Ralph Langner, expert en sécurité des systèmes automatisés industriels, va plus loin. Il relève en particulier que Stuxnet cherche à identifier sa cible; s’il tombe dessus, il la détruit; sinon, il reste là, sur le système qu’il a infecté, sans perturber son fonctionnement.
Le reste n’est que «spéculation» mais, selon lui, il n’est pas déraisonnable d’imaginer que l’usine iranienne d’enrichissement d’uranium de Bushehr ait été la cible de Stuxnet. Pour appuyer sa théorie, il revient sur la distribution géographique de l’infection : en juillet, Microsoft relevait une infection particulièrement marquée en Iran, en Indonésie et en Inde. Une analyse partagée par Symantec. Et de relever que Bushehr utilisait le fameux WinCC, avec un déploiement potentiellement peu rigoureux.
Comment expliquer que d’autres pays que l’Iran soient touchés ? Pour Ralph Langner, le vecteur d’infection pourrait être un sous-traitant russe qui a oeuvré dans la plupart des pays concernés; «une entreprise qui ne semble pas trop préoccupée par la sécurité informatique», estime-t-il en soulignant un récent épisode de compromission de son site Web.
Dale Peterson, spécialiste de la sécurité des systèmes Scada, se range volontiers aux arguments de Ralph Langner. Et d’insister, de son côté, sur le fait que de nombreux éléments - «faille 0 day Microsoft, certificats volés, connaissance de la technologie Siemens S7» - «indiquent un attaquant hautement motivé et hautement qualifié» qui aurait, de plus, tout fait pour «ne pas affecter d’autres processus» que ceux du système précisément visé.
La première arme de cyberguerre ?
Jonathan Pollet, Pdg de Red Tiger Security, n’hésite pas, dans les colonnes de notre confrère Christian Science Monitor, à considérer que Stuxnet est une arme. Pour Michael Assente, ancien directeur de recherche sur la sécurité des systèmes industriels automatisés au laboratoire de l’Idaho du ministère américain de l’Energie, ça ne fait pas non plus de doute : Stuxnet «est le premier exemple direct de logiciel utilisé comme une arme, hautement personnalisé et conçu pour trouver une cible particulière ».
Toutefois, pour Scott Borg, Pdg du groupe de conseil en sécurité US cyber Consequences Unit, cité par IDG News Service, «il n’est pas évident que le programme nucléaire [iranien] ait été visé, l’Iran a d’autres systèmes de contrôle qui auraient plus être visés.»
Quant à Dave Langner, dans un échange par e-mail avec nos confrères, il estime que le problème n’est pas tant Stuxnet que «la génération de logiciels malveillants qui doit suivre»... et s’en inspirer.
En complément :
- Scada : le temps de la panique est-il venu ?
- A Davos, les dirigeants de la planète avertis contre les faiblesses des systèmes Scada
- Etats ciblés, course aux armements, raids cybernétiques : la cyberguerre a-t-elle déjà commencé ?
- Piratage : la grille électrique américaine infiltrée par des pirates chinois et russes
- Tribune : des infrastructures industrielles de plus en plus vulnérables