Stuxnet était bien la première cyber-arme
Le célèbre logiciel malveillant qui a visé les installations iraniennes d’enrichissement d’uranium n’était que la version adoucie de quelque chose de bien plus dévastateur, « la première expérimentation de terrain de la technologie des armes informatiques à impact physique ».
Le célèbre logiciel malveillant qui a visé les installations iraniennes d’enrichissement d’uranium n’était que la version adoucie de quelque chose de bien plus dévastateur, « la première expérimentation de terrain de la technologie des armes informatiques à impact physique ».
Ralph Langner compte parmi les premiers experts à s’être penchés sur Stuxnet lors de sa découverte. Il vient d’en livrer une analyse complète (PDF), aux conclusions édifiantes. Pour lui, Stuxnet est l’illustration parfaite de l’attaque informatique à impact physique, montrant comment « les interactions entre [la couche informatique, la couche de contrôle, et la couche physique] peuvent être exploitées pour créer des destructions physiques à partir d’une attaque informatique ». Et le terme de destruction s’avère bien plus approprié qu’imaginé pendant longtemps.
Alors que l’attention s’est essentiellement focalisée sur la routine d’altération du cycle des centrifugeuses, Langner en souligne une autre, issue de la première variante connue de Stuxnet et découverte en 2007. Celle-ci visait le contrôleur Scada chargé de la gestion des valves de régulation de la pression des centrifugeuses et de celle des capteurs de pression. Une fois installée, cette variante s’occupait de s’interposer entre ces équipements et les systèmes de contrôle, une attaque de type man-in-the-middle. Et une fois l’attaque lancée, elle était capable de faire croire aux équipes de supervision que toutes les centrifugeuses fonctionnaient normalement alors qu’en coulisse, le flux normal des gaz d’uranium était interrompu et la pression montait progressivement dans l’installation. L’attaque pouvait être stoppée à tout moment ou se poursuivre jusqu’à la destruction de l’installation. Mais les capacités de supervision de cette variante de Stuxnet indiquent, selon Langner, que les attaquants n’avaient pas l’intention de provoquer de destruction complète, préférant laisser les ingénieurs iraniens dans le brouillard.
Les deux routines sont présentes dans le code du Stuxnet découvert en 2010, mais la plus ancienne n’est pas exploitée. Et Langner de relever que la première aurait pu rester inconnue du public, si elle n’avait été découverte avec le code du Stuxnet de 2009. Et là, les attaquants ont fait le choix d’un modus operandi bien plus simple, ne nécessitant pas de véritable supervision et se contentant d’altérer périodiquement le fonctionnement des centrifugeuses.
Une finalité plus subtile
Surtout, selon Ralph Langner, Stuxnet ne visait pas à détruire des centrifugeuses. Pour lui, l’objectif de ceux qui ont piloté l’opération consistait plus à réduire la durée de vie de ces centrifugeuses qu’à indiquer aux ingénieurs iraniens que leurs systèmes de contrôle étaient incompréhensibles.
Mais l’expert replace l’ensemble dans le cadre du programme Jeux Olympiques. Révélé par le New York Times en juin 2012, ce programme, conjoint entre les Etats-Unis et Israël, aurait permis de développer Stuxnet. Et pour Langner, la première routine d’attaque du logiciel malveillant visait à faire une démonstration de puissance. La seconde, toutefois, montre selon lui que maintenir le secret sur le ver n’était plus une priorité et que les attaquants voulaient surtout tester grandeur nature les moyens de sabotage de l’installation de Natanz. « L’opération Jeux Olympiques a commencé comme une expérience au résultat imprévisible. Au fil du temps, un résultat est apparu clairement : les armes numériques fonctionnent. Et à l’inverse des armes analogiques, elles ne mettent pas en danger les forces armées, produisent moins de dommages collatéraux, peuvent être déployées de manière furtive, et ne coûtent rien. » Une combinaison extrêmement séduisante.
Pour Langner, le projet Jeux Olympiques a clairement conduit les Etats-Unis à développer sérieusement leur potentiel cyberoffensif. Mais au-delà, les implications du programme restent difficiles à mesurer : « seul l’avenir nous dira comment les armes numériques impacteront les conflits internationaux, et même la criminalité et le terrorisme. » Mais il y a une ironie à l’histoire : « Stuxnet a été créé pour lutter contre la prolifération nucléaire et a fini par ouvrir la voie à une prolifération bien plus difficile à contrôler, celle des armes informatiques. »