Stephan Tanase, Kaspersky : Stuxnet marque l’avènement « d’une nouvelle forme de cybercriminalité »
Stephan Tanase, chercheur en sécurité chez Kaspersky, revient avec nous sur le ver Stuxnet, un ver très original, tant dans son niveau de sophistication que dans sa cible : les systèmes de gestion automatisée d’infrastructures industrielles automatisées. Des systèmes dits Scada que, jusqu’ici, beaucoup pensaient à l’abri des menaces informatiques du fait de leur faible ouverture sur l’extérieur. Mais Stuxnex change radicalement la donne.
LeMagIT : En quoi Stuxnet est-il si original ?
Stephan Tanase (en photo ci-contre) : Trois choses nous marquées lorsque nous nous sommes penchés sur Stuxnet. La première, c’est que Stuxnet cible des choses très spécifiques : des systèmes Scada utilisés pour automatiser le contrôle d’infrastructures industrielles... des infrastructures clé du monde dans lequel nous vivons.
La seconde est le fait que Stuxnet utilise deux certificats numériques pour signer ses fichiers, des certificats qui appartiennent à deux authentiques constructeurs de matériel informatique, Realtek et JMicron, et qui leur ont été volés. Pour les systèmes d’information, ce n’est pas anodin : cela signifie qu’une signature par certificat numérique ne permet pas d’établir une confiance absolue; jusqu’ici, les logiciels malveillants se contentaient de certificats auto-signés, pas d’authentiques certificats volés.
La troisième est que Stuxnet exploite quatre failles zero day [des failles qui n’avaient pas encore découvertes et éventuellement comblées; à ce jour seules deux d’entre elles ont été publiquement dévoilées]. C’est tout bonnement ahurissant. D’habitude, soit les logiciels malveillants n’exploitent pas de vulnérabilité du tout et se contentent d’ingénierie sociale, soit ils exploitent d’anciennes vulnérabilités, déjà corrigées, misant sur le fait que les dernières mises à jour n’ont pas été installées.
Que cela nous apprend-il au sujet des auteurs de Stuxnet, voire de leur cible et de leurs motivations ?
Nos seules certitudes sont liées à ce qui se trouve dans le logiciel malveillant. Le niveau de complexité et de sophistication de Stuxnet nous indique que ses auteurs disposaient de ressources importantes. On peut clairement dire qu’il ne s’agit pas d’un jeune adolescent qui s’ennuyait dans sa chambre, ni même d’un groupe d’amateurs en manque de sensations fortes. Derrière Stuxnet, il y a clairement une organisation solide bénéficiant d’importants financements. Et beaucoup de préparation : il faut beaucoup d’informations venant de l’intérieur pour réaliser un logiciel malveillant ciblant des systèmes SCADA et capable d’injecter du code dans les contrôleurs logiques programmables (PLC). JMicron et Realtek ont leurs sièges respectifs dans la même zone d’activité de Taïwan; là encore, il faut imaginer des liens avec des personnes ayant un accès à l’intérieur de ces bureaux, ou bien... la diffusion ciblée de clés USB infectées, sur le parking, pour contaminer les ordinateurs des employés.
Qui plus est, après analyse, il faut bien relever que les quatre failles utilisées par Stuxnet ne l’ont été par aucun autre logiciel malveillant : elles ont été trouvées pour Stuxnet. Et qu’en outre, elles concernaient toutes les versions de Windows, jusqu’aux plus récentes.
Surtout, on touche à un tout nouveau genre de cybercriminalité susceptible d’affecter le monde physique et notre vie quotidienne. On s’attendait à ce que cela finisse par arriver. Mais nous n’en sommes pas moins surpris par Stuxnet.
Qu’est-ce que cela doit changer dans notre manière d’appréhender la sécurité informatique et l’exposition au risque ?
Cela doit amener ceux qui gèrent des infrastructures critiques à revoir leur approche sur la sécurité. Ce qui m’a frappé lorsque je me suis penché sur le produit Siemens visé par Stuxnet, c’est que l’éditeur recommande de ne pas installer de solution de sécurité au motif que cela pourrait ralentir la machine, ou encore que Siemens recommande de ne pas changer le mot de passe par défaut d’accès aux bases de données de son outil. Clairement, ces gens-là n’ont pas une conscience très aigüe des questions de sécurité. Je peux le comprendre : leurs outils fonctionnent sur un réseau totalement isolé d’Internet; il y a de quoi se sentir en sécurité... Mais voilà, des personnels se déplacent, utilisent des clés USB, et l’infection peut se développer - à leur insu. C’est un autre exemple de l’importance du facteur humain dans la sécurité.
En complément :
- Le ver Stuxnet est-il la première cyber-arme ?
- LNK: quand petite faille se fait grande menace
- A Davos, les dirigeants de la planète avertis contre les faiblesses des systèmes Scada
- Etats ciblés, course aux armements, raids cybernétiques : la cyberguerre a-t-elle déjà commencé ?
- Tribune : des infrastructures industrielles de plus en plus vulnérables