Alors que le ver découvert dernièrement donne l'opportunité aux criminels de pénétrer les systèmes d'automatisation industrielle de Siemens en utilisant un mot de passe par défaut, l'entreprise a averti ses clients de ne pas toucher à ce dernier. Cela risquerait de bouleverser tout le système. « Nous allons publier prochainement un guide d'assistance pour notre clientèle, mais sans inclure de modification des paramètres par défaut risquant de perturber le fonctionnement des usines » a annoncé Michael Krampe, porte-parole pour Siemens Industry dans un email. L'entreprise prévoit donc de lancer un site qui fournira de plus amples informations sur le premier virus ciblant spécifiquement les produits Scada. Ces systèmes WinCC de Siemens sont utilisés pour gérer les machines de production industrielle à travers le monde.

Espionnage industriel invasif

La firme allemande se démène pour régler le problème, tandis que dans le même temps, le ver Stuxnet continue de se répandre mondialement. Gerry Egan, directeur de la gestion de produits chez Symantec, informe que l'entreprise a relevé près de 9000 tentatives d'infections par jour. Le programme malveillant se propage par l'intermédiaire de clés USB, de CD ou de fichiers partagés et s'appuie sur une faille non-corrigée de Windows. Cependant, s'il ne trouve pas le logiciel WinCC sur l'ordinateur infecté, il ne fait que continuer à se copier et reste dormant.

Puisque les systèmes Scada font partie de l'infrastructure critique des entreprises, les experts de la sécurité se sont dans un premier temps inquiétés d'une attaque potentiellement dévastatrice. Dans le cas présent, pourtant, le virus ne semble être qu'un programme d'espionnage et de vol d'information. S'il détecte un environnement Scada, il utilise le mot de passe par défaut pour ensuite rechercher, puis copier des fichiers sensibles ou confidentiels vers un site web extérieur. « L'individu ayant écrit ce code connait très bien les produits Siemens. Ce n'est pas un amateur » indique Eric Byres, directeur de la technologie chez Byres Security. En dérobant les secrets Scada d'une usine, les malfaiteurs pourraient prendre connaissance des procédés de fabrication utilisés, ajoute-t-il. Son entreprise est d'ailleurs débordée d'appels de clients Siemens inquiets et désireux de se prémunir face à cette menace.

Des solutions temporaires pour rassurer les clients

L'United States Computer Emergency Readiness Team (US-CERT) a mis en place un comité consultatif concernant Stuxnet, mais les informations ne sont pas encore rendues publiques. D'un autre côté, d'après Eric Byres, et à l'instar des déclarations de Siemens, changer le mot de passe de WinCC empêcherait les composants critiques du système d'interagir avec ce dernier. Or, comme celui-ci les administre, « cela reviendrait en somme à désactiver tout le système si le mot de passe n'est plus reconnu ».

Les clients sont donc entre deux eaux, mais ils peuvent toutefois faire quelques modifications afin que les ordinateurs n'affichent plus les fichiers .lnk utilisés par le virus pour passer d'un système à l'autre. Ils peuvent aussi désactiver le service Windows WebClient qui lui sert à se répandre dans le réseau local. Microsoft a d'ailleurs publié, dans cette optique, un avertissement de sécurité expliquant la procédure. « Siemens est en train de développer une solution qui pourra identifier et systématiquement se débarrasser de Stuxnet » a précisé Michael Krampe, sans dire quand elle serait disponible.

Scada a été conçu « en considérant que personne n'aurait accès à ces mots de passe. C'est une hypothèse qui revient à croire que personne ne s'attaquera jamais à vous » signale Eric Byres. Les noms d'utilisateurs et mots de passe par défaut utilisés par les concepteurs du ver ont en effet été publiés sur le web en 2008 selon lui.

Crédit Photo : D.R.