Kommunauty
Connexion
Inscription

Stuxnet, on reprend tout à zéro

le 30 juillet 2012 • Web • par Notorius

Vous en avez certainement entendu parler durant plusieurs semaines, mais avez-vous vraiment découvert ce qui se cachait derrière ce nom bizarre ?

Nous allons voir ensemble que derrière ses airs banals, Stuxnet est un des virus informatiques les plus sophistiqués jamais créé.

D'où vient Stuxnet?

Nous savons aujourd'hui que ce ver ou worm en anglais a été développé conjointement par les Etats-Unis et Israël dans le cadre d'une opération top secrète baptisée Olympic Games.

Cette opération a été lancée en 2006 sous l'ère Bush au moment exact où des tensions entre l'Iran et les pays occidentaux se faisaient sentir à propos du programme d'enrichissement nucléaire iranien.

Le gouvernement américain, ne pouvant pas attaquer militairement l'Iran décida de pénétrer le système informatique de ses sites nucléaires afin de stopper ou au moins de ralentir le programme d'enrichissement.

La suite pourrait être le scénario d'un film d'espionnage, la première étape a consisté à étudier le fonctionnement du site nucléaire iranien de Nantaz et plus précisément de ses centrifugeuses, machines qui, par un procédé complexe permettent l'enrichissement de l'uranium.

Le président iranien au milieu d'un parc de centrifugeuses

Pour comprendre le principe d'une centrifugeuse et son fonctionnement, prenons comme exemple une essoreuse à salade, vous mettez votre salade, tournez et elle ressort débarrassée d'une partie de son eau.

Ici le principe est le même, des centaines de grosses essoreuses sont reliées les unes au autres, on y injecte à l'entrée l'uranium sous forme de gaz qui ressort plus concentré car débarassé d'une partie de ses éléments. Il suffit ensuite de répéter l'opération plusieurs fois jusqu'à obtenir le résultat escompté.

Attaquer un site nucléaire : Mode d'emploi

Avant d'expliquer le fonctionnement de Stuxnet, petit rappel sur ce qu'est un ver :

Un ver informatique est un programme malicieux totalement autonome. Celui-ci a généralement une cible prédéfinie qu'il va chercher à atteindre en touchant d'abord les machines les plus vulnérables. Il va ensuite se copier autant de fois qu'il le peut, attaquer de nouvelles machines et ainsi de suite jusqu'à atteindre son but. Cela en fait un ennemi redoutable car difficile à éradiquer.

Analysons maintenant comment Stuxnet et ses développeurs sont arrivés à leur fin. L'attaque, assez standard dans son procédé s'est déroulée en 3 grandes étapes :

Etape 1 : Préparation de l'attaque :

C'est le préambule à tout piratage informatique, la collecte d'informations ainsi que la recherche de failles exploitables. Avec un espion au sein même de l'usine de Nantaz, le programme Olympic Games a permis d'obtenir des données sur le système de contrôle et de commande. Ce système est connu sous le nom de SCADA pour Supervisory Control and Data Acquisition. Ce n'est qu'une fois ces informations récoltées et analysées que l'écriture de Stuxnet a réellement démarré.

On estime d'ailleurs qu'il aura fallu 6 mois de développement et une équipe de 5 à 10 personnes pour écrire le programme, avec au moins un ingénieur connaissant parfaitement les équipements industriels visés.

Une fois le ver codé, il fallait trouver un moyen de le faire entrer dans le fruit et pour cela, rien de bien compliqué, il aura suffit d'une simple clé USB insérée par un complice ayant un accès physique à un des ordinateurs du centre.

Etape 2 : Propagation et recherche de la cible :

Une fois dans la place, Stuxnet a pu commencer son travail d'infection en profondeur. Avant d'accéder au contrôle des centrifugeuses, il a d'abord dû compromettre les machines Windows sur lesquelles il se trouvait. Pour cela, pas moins de quatre failles dont trois 0-day (se dit d'une faille révélée par une attaque informatique) ont été utilisées spécialement pour l'occasion, et deux pour sa simple installation.

Il est très rare de voir autant de failles exploitées par le même malware, tant celles-ci sont précieuses en particulier quand elles n'ont pas encore été découvertes.

Celles-ci ont permis au ver de pouvoir exécuter du code arbitraire avec les droits administrateurs. Cela lui a permis d'installer deux outils de dissimulation aussi appelés rootkits disposant des fonctionnalités suivantes :

Wikipedia :
  • Une procédure de réinstallation, si une de ses ressources est effacée.

  • Sa charge utile pour attaquer les équipements Siemens visés : Cette partie spécifique extrêmement complexe comporte 2 sous-parties : une procédure de leurre des outils de monitoring et une procédure de contrôle du logiciel Siemens (SCADA).

  • Un serveur pour envoyer et recevoir des informations et des données : Sa première action est de communiquer avec deux serveurs de contrôle : www.mypremierfutbol.com et www.todaysfutbol.com

  • Un mécanisme complexe de mise à jour pour exécuter le nouveau code reçu via ces serveurs si besoin.

  • Un mécanisme de désinstallation.

  • Un mécanisme P2P de mise à jour si une nouvelle version est disponible sur un autre ordinateur infecté.

La cible de Stuxnet : infecter les postes utilisant le système de contrôle Scada et plus précisément un de ses modules nommé Simatic WinCC.

WinCC est un logiciel Windows destiné au contrôle et à la gestion des automatismes, il gère en particulier les vitesses de rotations de nos fameuses essoreuses.

Une fois en place, Stuxnet a pris le contrôle des convertisseurs de fréquences, sorte de gros variateurs alimentant et permettant de régler les vitesses de rotation des centrifugeuses.

En faisant tourner les moteurs alternativement très au-dessus ou très en-dessous de leur valeur nominale, Stuxnet a accéléré leur usure de manière prématuré et ce jusqu'à la destruction partielle ou totale d'une partie des installations.

On estime à plusieurs centaines le nombre de centrifugeuses détruites ou mise hors services grâce à ce procédé.

Etape 3 : Pérennisation de l'infection :

Une fois bien installé sur le réseau, Stuxnet a réussi à échapper à toute découverte, notamment grâce à ses nombreux outils de défense interne ainsi qu'à des parties de son code chiffrées pour éviter les scan antiviraux. Tellement bien qu'il a pu, durant des semaines, continuer son action destructrice sans que personne ne se doute de sa présence.

Comment il a été découvert?

Stuxnet aurait pu rester dans l'ombre bien plus longtemps ou même ne jamais apparaître aux yeux du grand public si une erreur dans sa conception n'avait pas entraîné sa fuite sur internet.

En effet, malgré sa grande sophistication, une erreur de programmation a entraîné une installation accidentelle du ver sur l'ordinateur personnel d'un des ingénieurs. Celui-ci a été infecté alors qu'il travaillait justement sur les centrifugeuses du site de Nantaz.

Ensuite tout s'enchaîne très vite, l'homme rentre chez lui et se connecte à internet. Le ver dans l'impossibilité de détecter son changement d'environnement commence à se propager et échappe ainsi au contrôle de ses créateurs.

Le 10 juillet 2010, l'éditeur de sécurité VirusBlokAda déclare avoir trouvé un nouveau malware sortant de l'ordinaire. Suivi par Symantec puis Kaspersky et après une analyse poussée, la nouvelle se répand et le monde découvre l'existence de Stuxnet ainsi que sa cible.

On estime à 100 000 le nombre de PC infectés par Stuxnet à la fin 2010 principalement en Iran.


Sources
Fermer ce cadre


  
11 commentaires

Très sympa et complet comme premier article, bravo !

le 30 juillet 2012

oui

le 30 juillet 2012

Bravo ! J'en avais entendu parler, mais là c'est bien détaillé

le 30 juillet 2012

Sympa mais il manque un petit truc tout de même, que s'est-il passé depuis que le virus a été découvert ?

le 30 juillet 2012

Ah oui tiens tu as eveillé ma curiosité Courroux

En tout cas super article j'aime beaucoup !

le 30 juillet 2012

Dangereux ce ver ! Très bon article en passant !

le 30 juillet 2012

joli article

le 2 aout 2012

En effet, très bien expliqué étant donné quand même la complexité de l'affaire.

Un truc que j'ai pas compris par contre :

Un mécanisme P2P de mise à jour si une nouvelle version est disponible sur un autre ordinateur infecté.

Comment ça marche ça ?

Comment le virus se met à jour tout seul ? et grâce à quoi cela peut se faire ?

le 3 octobre 2012

C'est simple, le ver obéit à ce qu'on appelle un serveur C&C pour Command and Control. De manière générale ce serveur est dissimulé dans un site web d'apparence anodine, le ver se connecte dessus et récupère ses ordres (modification du code, du comportement, envoi d'un ordre d'auto destruction, etc...). Pour le P2P le principe est le même mais dans ce cas précis c'est certainement pour permettre à une version plus récente du ver de se propager à toutes les machines déjà infectés sur lesquelles une version plus ancienne est déjà présente.

le 3 octobre 2012

OK je vois. J'avais pas compris comment il pouvait se mettre à jour tout seul, mais en fait c'est via ses créateurs, à travers donc une connexion, qu'il pourra évoluer.

Merci Notorius !

le 4 octobre 2012

Bon beh faut tout reprendre à zéro avec la Corée du Nord ; que leurs pétards éclatent au lancement

le 26 avril 2013



Ajoute un commentaire !

Ajouter une image... Trouvée sur internet » De mon PC »
Adresse URL :
Adresse de la page de la vidéo :
Taille du texte :
Couleur du texte :

Article lu 7256 fois.