Partie 2 : Stuxnet ou la guerre 2.0
Une nouvelle notion a fait son apparition dans les conflits. De plus en plus, les systèmes informatiques servent de champ de bataille aux terroristes comme aux Etats. Doit-on s’attendre à la prolifération des cyber-attaques ? Qui est menacé ? Et sommes-nous face à l’apparition d’une nouvelle façon de faire la guerre entre deux nations : la naissance des cyber-guerres ?
Une nouvelle étape franchie dans la cyber-guerre
Stuxnet est le ver le plus récent et le plus dangereux en date. Il a été découvert cet été 2010 et se répand depuis plus d’un an. Tout le monde s’accorde à dire qu’il s’agit d’une véritable rupture avec tout ce qui avait déjà été vu auparavant dans le domaine. La complexité et les moyens que requiert Stuxnet laissent penser qu’il est l’œuvre d’un Etat, au travers de ses services de renseignements. A ce jour, plusieurs éditeurs de solutions anti-virus ont posté des analyses sur Stuxnet, mais aucun d’entre eux ne l’a, pour le moment, décodé entièrement. Le ver est systématiquement décrit comme une menace incroyablement large et complexe, l’un des plus sophistiqués qu’il ait été donné d’étudier.
Les cibles de Stuxnet
Stuxnet prend pour cible essentiellement les installations industrielles comme les pipelines pétroliers ou encore les centrales électriques, nucléaires notamment. Il vise une cible très précise : les systèmes SCADA (Supervisory Control and Data Acquisition) Siemens S7-300 et S7-400. Il aurait vraisemblablement nécessité des mois, voire des années, de développement à une équipe de plusieurs personnes de très haut niveau.
Il est désormais certain que Stuxnet a attaqué différentes centrales électriques, particulièrement en Iran, qui semble être le pays le plus touché. En effet, une nouvelle étude vient d’annoncer que le logiciel malveillant aurait été créé spécifiquement pour « saboter le programme nucléaire iranien ». Les autorités iraniennes ont reconnu que des installations avaient été affectées mais que rien n’avait été endommagé. L’Iran n’a évidemment pas intérêt à révéler que ses centrales ont été touchées, plus ou moins gravement, cependant les experts estiment que la probabilité d’une attaque réussie est forte. On ne saura si la centrale nucléaire de Bushehr a été gravement endommagée que dans quelques mois. La thèse la plus plausible mais pour l’instant toujours invérifiable, serait que le ver ait été utilisé afin de ralentir le programme nucléaire iranien.
L’ombre de Stuxnet plane aussi sur d’autres attaques, dont les sources n’ont pas été certifiées. Bien qu’il ne soit pas encore prouvé que Stuxnet soit à l’origine de ces accidents, le ver reste le principal suspect. Aux Etats-Unis, lors de l’explosion de la conduite de gaz de San Bruno, près de San Francisco, au mois de septembre dernier, la police a saisi les données des ordinateurs SCADA qui pilotent le système. Quant à la marée noire survenue dans le Golfe du Mexique, il a été avéré que la plateforme pétrolière était équipée de système Siemens visés par l’attaque. Stuxnet n’est pas le premier malware à s’attaquer à des systèmes SCADA.
Ces dernières années, plusieurs phénomènes consécutifs à des erreurs de programmes informatiques ont été enregistrés, erreurs favorisées ou non par la présence d’un malware. Ainsi, en 2003, le ver Slammer a contaminé un site nucléaire et le ver Nachi a touché les automates bancaires Diebold. En 2005, une usine du Texas a explosé à cause d’une erreur sur une sonde de pression et le ver Zortob a provoqué l’arrêt de treize usines d’assemblage de véhicules. Plus récemment, une erreur informatique dans la gestion de la pression a généré de gigantesques inondations dans le New Jersey. En 2007 les hackers ont réussi la prise de contrôle des feux de signalisation en Californie, et des ingénieurs ont réussi la destruction expérimentale d’un générateur électrique supposé être totalement isolé du reste du réseau. En résumé, les pires scénarios des films catastrophes sont devenus hautement probables.
Le fonctionnement de Stuxnet
Stuxnet cible surtout les installations industrielles à haut risque. Une fois que le ver s’est introduit dans ce système, son objectif est de reprogrammer les systèmes de contrôle industriels en modifiant le code des contrôleurs logiques de manière à fonctionner comme le souhaite l’attaquant, tout en masquant ces modifications.
Découvert au mois de juin 2010, tous les chercheurs s’accordent à dire qu’il existe depuis au moins la fin de l’année 2009. Il aurait infecté plus de 100 000 systèmes informatiques dans le monde à ce jour, dont une grande majorité en Iran, mais également en Indonésie et en Inde.
En s’attaquant à une configuration très précise du système Simatic de Siemens, on peut être sûr que ses concepteurs savent précisément qui ils visent et disposent d’une connaissance très pointue du système ciblé.
En quoi Stuxnet est différent des autres vers ?
Stuxnet se distingue d’abord par sa taille (500 Ko) et dispose surtout de caractéristiques jamais vues avant :
- Quatre failles 0-day : des failles qui n’ont pas été corrigées par le concepteur du programme. L’une des ces failles propage le programme au travers d’une clé USB, la deuxième exploite une faille dans le spooler d’impression de Windows pour que le ver se propage dans un réseau local, les deux autres sont destinées à gagner des privilèges d’administrateurs au sein des machines infectées et modifier ainsi les codes dans les systèmes SCADA.
- Présence de signatures de codes dérobées à deux entreprises : ainsi le programme n’a pas été détecté par les anti-virus.
- Méthode de propagation variable selon l’état du serveur sur lequel il se trouve, pouvant utiliser un réseau pair pour se propager.
- Capacité à se dissimuler à la vue des postes de travail Windows qui sont chargés de superviser les automates de type PLC (automates programmables industriels). Si quelqu’un examine la structure du PLC à la recherche de l’explication de problèmes survenant, il verra le fonctionnement du système avant l’infection, comme une caméra qui remplacerait le film par un enregistrement plus ancien.
- Envoi de commandes désactivant les systèmes non corrompus et supprimant les différentes alarmes pour mener l’attaque à son terme en toute quiétude.
Le plus inquiétant est tout de même la très probable existence de vers ou virus identiques, voire plus dangereux que Stuxnet, et qui n’ont pas encore été découverts. Cela peut parfaitement se reproduire avec un degré de sophistication et de dangerosité encore plus important. Il est clair que dans la cyber-guerre, un palier a été franchi avec Stuxnet.