Articles

Retour en arrière Jeudi : Qu’est-il arrivé à Stuxnet ?

Qu’est-il arrivé à Stuxnet ? Depuis qu’il a détruit des centaines de centrifugeuses dans une installation d’enrichissement nucléaire en Iran en 2010, le ver est resté silencieux — mais pas inactif.

Retour jeudi: Qu'est-il arrivé à Stuxnet?

Comparé à beaucoup de ses collègues malwares, le ver Stuxnet a eu beaucoup plus que les 15 minutes de gloire proverbiales.

Avec raison. C’était un précédent. C’était l’un des logiciels malveillants les plus sophistiqués jamais créés à l’époque. Kaspersky Lab a estimé qu’il a fallu deux à trois ans à une équipe de 10 codeurs pour le créer.

Il a également franchi une ligne. Au lieu d’être utilisé « simplement” pour pirater des ordinateurs et voler les données qui s’y trouvent, il a été utilisé pour provoquer une destruction physique.

Qu’est-ce que Stuxnet ?

Au moment où il est devenu public pour la première fois en 2010, Stuxnet avait permis la destruction de près d’un millier, soit environ un cinquième, des centrifugeuses de l’installation d’enrichissement nucléaire iranienne de Natanz, retardant le programme nucléaire de ce pays de 18 mois ou plus. De toute évidence, cela est devenu une nouvelle internationale qui a duré non seulement des mois, mais des années.

Après avoir contourné sur la pointe des pieds la question de l’attribution pendant un certain temps, la plupart des rapports se sont contentés de dire qu’il était « largement accepté” que Stuxnet était une cyber-arme créée par les agences de renseignement israéliennes et américaines. Il y a eu des livres écrits à ce sujet, de nombreux séminaires organisés à ce sujet et, bien sûr, des accusations et des menaces parmi les États-nations impliqués.

Stuxnet était également important car les attaquants ont introduit le ver dans les ordinateurs de Natanz même si les systèmes étaient « ouverts” – non connectés à Internet. Ils y ont eu accès en utilisant des clés USB pour installer le logiciel malveillant sur les systèmes de sociétés tierces ayant un lien avec le programme nucléaire iranien.

LIÉS: Les trous d’air dans les circuits intégrés vont, vont going et la sécurité aussi

Stuxnet était très ciblé, conçu pour rechercher uniquement le logiciel Siemens STEP 7 sur des ordinateurs contrôlant un automate programmable (automate programmable). Si l’un ou l’autre était manquant, Stuxnet serait en sommeil à l’intérieur de l’ordinateur. Mais si les deux étaient présents, cela modifierait les codes et donnerait des commandes malveillantes à l’automate tout en renvoyant des commentaires qui donneraient l’impression que tout était normal.

Ces commandes ont fait que les centrifugeuses ont perdu tout contrôle et se sont détruites avant que quiconque surveillant le système ne sache que quelque chose n’allait pas.

Il semblerait que Stuxnet n’ait jamais été destiné à se répandre au-delà de Natanz. Cependant, le logiciel malveillant s’est retrouvé sur des ordinateurs connectés à Internet et a commencé à se propager dans la nature, grâce à un design extrêmement sophistiqué et agressif.

Qu'est-ce que Stuxnet ?

Que s’est-il passé depuis ?

Après l’attaque de Natanz, Stuxnet a disparu des gros titres en quelques années, mais il est revenu brièvement en 2016, lorsqu’un rapport de renseignement de sécurité de Microsoft l’a identifié parmi les familles de logiciels malveillants liés aux exploits détectés au second semestre de 2015.

LIÉS: 6 ans plus tard, la vulnérabilité de « Stuxnet » reste exploitée

Elle s’est à nouveau estompée jusqu’en novembre dernier, lorsque Reuters, suivi par de nombreux autres médias, a rapporté une affirmation du chef de la défense civile iranienne selon laquelle le gouvernement du pays avait détecté et stoppé un effort israélien pour infecter les systèmes informatiques avec ce qu’il a décrit comme une nouvelle version de Stuxnet.

Gholamreza Jalali, chef de l’Organisation Nationale de Défense Passive (NPDO), a déclaré au service de presse iranien IRNA: « Récemment, nous avons découvert une nouvelle génération de Stuxnet composée de plusieurs parties and et nous essayions d’entrer dans nos systèmes. »

Mohammad-Javad Azari Jahromi, ministre iranien des Télécommunications, a accusé Israël d’être derrière l’attaque, affirmant que le logiciel malveillant était destiné à « nuire aux infrastructures de communication de l’Iran. Mais il a déclaré que les « équipes techniques vigilantes” du pays avaient bloqué l’attaque et qu’Israël était « revenu les mains vides « . »

Le Times of Israel rapportait à l’époque que des responsables iraniens avaient admis qu’ils faisaient face à une attaque  » d’un virus plus violent, plus avancé et plus sophistiqué qu’auparavant, qui a frappé les infrastructures et les réseaux stratégiques. »

Ce n'est pas tellement que Stuxnet est de retour. C'est que ça n'a jamais disparu.

Quel est l’état actuel de Stuxnet ?

Quel est le statut de Stuxnet maintenant ? Bien qu’il soit dans la nature depuis des années, cela ne signifie pas que n’importe qui peut l’utiliser pour faire le même genre de dégâts.

Liam O’Murchu de Symantec, directeur du groupe Security Technology and Response, a déclaré au magazine CSO en 2017 qu’il s’agissait du code le plus complexe que l’équipe ait examiné et qu’il était  » dans une ligue complètement différente de tout ce que nous avions jamais vu auparavant. »

Il a également dit ne pas croire les sites Web qui prétendaient avoir le code Stuxnet disponible au téléchargement, car le code source du ver n’avait pas été publié ou divulgué et ne pouvait pas être extrait des binaires disponibles dans la nature.

Alors que le code d’un pilote — une très petite partie du package global — avait été reconstruit par rétro-ingénierie, ce n’est pas la même chose que d’avoir le code d’origine.

Pourtant, O’Murchu a déclaré que les chercheurs pouvaient comprendre beaucoup de choses sur le code en examinant le binaire en action et en le rétro-concevant. Par exemple, « il était assez évident dès la première analyse de cette application qu’elle recherchait des équipements Siemens”, a-t-il déclaré.

Et après trois à six mois de rétro-ingénierie, « nous avons pu déterminer, je dirais, 99% de tout ce qui se passe dans le code. »

Mais l’annonce de novembre de l’Iran confirme ce qui arrive à Stuxnet. Il évolue, comme la plupart des familles de logiciels malveillants. Ce n’est pas tellement que c’est de retour. C’est qu’il n’a jamais disparu — et il sera presque certainement à nouveau à la une des journaux.

En savoir plus sur la sécurité des circuits intégrés

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *