Stuxnet, on reprend tout à zéro
Vous en avez certainement entendu parler durant plusieurs semaines, mais avez-vous vraiment découvert ce qui se cachait derrière ce nom bizarre ?
Nous allons voir ensemble que derrière ses airs banals, Stuxnet est un des virus informatiques les plus sophistiqués jamais créé.
D'où vient Stuxnet?
Nous savons aujourd'hui que ce ver ou worm en anglais a été développé conjointement par les Etats-Unis et Israël dans le cadre d'une opération top secrète baptisée Olympic Games.
Cette opération a été lancée en 2006 sous l'ère Bush au moment exact où des tensions entre l'Iran et les pays occidentaux se faisaient sentir à propos du programme d'enrichissement nucléaire iranien.
Le gouvernement américain, ne pouvant pas attaquer militairement l'Iran décida de pénétrer le système informatique de ses sites nucléaires afin de stopper ou au moins de ralentir le programme d'enrichissement.
La suite pourrait être le scénario d'un film d'espionnage, la première étape a consisté à étudier le fonctionnement du site nucléaire iranien de Nantaz et plus précisément de ses centrifugeuses, machines qui, par un procédé complexe permettent l'enrichissement de l'uranium.
Pour comprendre le principe d'une centrifugeuse et son fonctionnement, prenons comme exemple une essoreuse à salade, vous mettez votre salade, tournez et elle ressort débarrassée d'une partie de son eau.
Ici le principe est le même, des centaines de grosses essoreuses sont reliées les unes au autres, on y injecte à l'entrée l'uranium sous forme de gaz qui ressort plus concentré car débarassé d'une partie de ses éléments. Il suffit ensuite de répéter l'opération plusieurs fois jusqu'à obtenir le résultat escompté.
Attaquer un site nucléaire : Mode d'emploi
Avant d'expliquer le fonctionnement de Stuxnet, petit rappel sur ce qu'est un ver :
Un ver informatique est un programme malicieux totalement autonome. Celui-ci a généralement une cible prédéfinie qu'il va chercher à atteindre en touchant d'abord les machines les plus vulnérables. Il va ensuite se copier autant de fois qu'il le peut, attaquer de nouvelles machines et ainsi de suite jusqu'à atteindre son but. Cela en fait un ennemi redoutable car difficile à éradiquer.
Analysons maintenant comment Stuxnet et ses développeurs sont arrivés à leur fin. L'attaque, assez standard dans son procédé s'est déroulée en 3 grandes étapes :
Etape 1 : Préparation de l'attaque :
C'est le préambule à tout piratage informatique, la collecte d'informations ainsi que la recherche de failles exploitables. Avec un espion au sein même de l'usine de Nantaz, le programme Olympic Games a permis d'obtenir des données sur le système de contrôle et de commande. Ce système est connu sous le nom de SCADA pour Supervisory Control and Data Acquisition. Ce n'est qu'une fois ces informations récoltées et analysées que l'écriture de Stuxnet a réellement démarré.
On estime d'ailleurs qu'il aura fallu 6 mois de développement et une équipe de 5 à 10 personnes pour écrire le programme, avec au moins un ingénieur connaissant parfaitement les équipements industriels visés.
Une fois le ver codé, il fallait trouver un moyen de le faire entrer dans le fruit et pour cela, rien de bien compliqué, il aura suffit d'une simple clé USB insérée par un complice ayant un accès physique à un des ordinateurs du centre.
Etape 2 : Propagation et recherche de la cible :
Une fois dans la place, Stuxnet a pu commencer son travail d'infection en profondeur. Avant d'accéder au contrôle des centrifugeuses, il a d'abord dû compromettre les machines Windows sur lesquelles il se trouvait. Pour cela, pas moins de quatre failles dont trois 0-day (se dit d'une faille révélée par une attaque informatique) ont été utilisées spécialement pour l'occasion, et deux pour sa simple installation.
Il est très rare de voir autant de failles exploitées par le même malware, tant celles-ci sont précieuses en particulier quand elles n'ont pas encore été découvertes.
Celles-ci ont permis au ver de pouvoir exécuter du code arbitraire avec les droits administrateurs. Cela lui a permis d'installer deux outils de dissimulation aussi appelés rootkits disposant des fonctionnalités suivantes :
- Une procédure de réinstallation, si une de ses ressources est effacée.
- Sa charge utile pour attaquer les équipements Siemens visés : Cette partie spécifique extrêmement complexe comporte 2 sous-parties : une procédure de leurre des outils de monitoring et une procédure de contrôle du logiciel Siemens (SCADA).
- Un serveur pour envoyer et recevoir des informations et des données : Sa première action est de communiquer avec deux serveurs de contrôle : www.mypremierfutbol.com et www.todaysfutbol.com
- Un mécanisme complexe de mise à jour pour exécuter le nouveau code reçu via ces serveurs si besoin.
- Un mécanisme de désinstallation.
- Un mécanisme P2P de mise à jour si une nouvelle version est disponible sur un autre ordinateur infecté.
La cible de Stuxnet : infecter les postes utilisant le système de contrôle Scada et plus précisément un de ses modules nommé Simatic WinCC.
WinCC est un logiciel Windows destiné au contrôle et à la gestion des automatismes, il gère en particulier les vitesses de rotations de nos fameuses essoreuses.
Une fois en place, Stuxnet a pris le contrôle des convertisseurs de fréquences, sorte de gros variateurs alimentant et permettant de régler les vitesses de rotation des centrifugeuses.
En faisant tourner les moteurs alternativement très au-dessus ou très en-dessous de leur valeur nominale, Stuxnet a accéléré leur usure de manière prématuré et ce jusqu'à la destruction partielle ou totale d'une partie des installations.
On estime à plusieurs centaines le nombre de centrifugeuses détruites ou mise hors services grâce à ce procédé.
Etape 3 : Pérennisation de l'infection :
Une fois bien installé sur le réseau, Stuxnet a réussi à échapper à toute découverte, notamment grâce à ses nombreux outils de défense interne ainsi qu'à des parties de son code chiffrées pour éviter les scan antiviraux. Tellement bien qu'il a pu, durant des semaines, continuer son action destructrice sans que personne ne se doute de sa présence.
Comment il a été découvert?
Stuxnet aurait pu rester dans l'ombre bien plus longtemps ou même ne jamais apparaître aux yeux du grand public si une erreur dans sa conception n'avait pas entraîné sa fuite sur internet.
En effet, malgré sa grande sophistication, une erreur de programmation a entraîné une installation accidentelle du ver sur l'ordinateur personnel d'un des ingénieurs. Celui-ci a été infecté alors qu'il travaillait justement sur les centrifugeuses du site de Nantaz.
Ensuite tout s'enchaîne très vite, l'homme rentre chez lui et se connecte à internet. Le ver dans l'impossibilité de détecter son changement d'environnement commence à se propager et échappe ainsi au contrôle de ses créateurs.
Le 10 juillet 2010, l'éditeur de sécurité VirusBlokAda déclare avoir trouvé un nouveau malware sortant de l'ordinaire. Suivi par Symantec puis Kaspersky et après une analyse poussée, la nouvelle se répand et le monde découvre l'existence de Stuxnet ainsi que sa cible.
On estime à 100 000 le nombre de PC infectés par Stuxnet à la fin 2010 principalement en Iran.
Fondation d'Isaac Asimov enfin en série TV
Fondation d'Isaac Asimov enfin en série TV
Comment éviter les attaques de phishing ?
Le principe de l'interdit ou le boycott individuel
5 sites de jeux gratuits en ligne à utiliser cette année
Comment j'ai rencontré mon épouse
Quel langage de programmation apprendre en 2021 ?
Comment choisir un ordinateur portable de qualité ?
Sois le premier à débuter une discussion à propos de cet article !
Ajoute un commentaire !