Le ver informatique très sophistiqué qui s'est propagé en Iran, Indonésie et Inde a été élaboré pour détruire un seul objectif: le réacteur nucléaire de Bushehr en Iran. C'est le consensus qui se dégage des experts en sécurité qui ont examiné Stuxnet. Ces dernières semaines, ils ont cassé le code de chiffrement du programme et ont observé la façon dont le ver fonctionne dans des environnements de test. Les chercheurs s'accordent sur le fait que Stuxnet a été conçu par un attaquant très sophistiqué - peut-être un État - et il a été imaginé pour détruire quelque chose de grand.

Bien que son développement date d'un an, Stuxnet a été découvert en juillet 2010, dans des ordinateurs appartenant à un client iranien vendus par une entreprise Biélorusse de sécurité. Dès lors, il a fait l'objet d'étude par des chercheurs en sécurité attirés par la sophistication de l'attaque. Maintenant, après des mois de spéculation, quelques-uns des chercheurs qui connaissent mieux Stuxnet, pensent connaître la cible du ver. La semaine dernière, Ralph Langner, un expert très respecté sur la sécurité des systèmes industriels, a publié une analyse du logiciel, qui vise les systèmes logiciels Siemens. Il a suggéré lui aussi la même cible finale.

Les experts avaient d'abord pensé que Stuxnet avait été écrit pour voler des secrets industriels - des formules qui ont pu être utilisés pour construire des produits contrefaits. Mais Ralph Langner a trouvé quelque chose de très différent. Le ver recherche effectivement des paramètres très précis des systèmes  Scada, notamment ceux de Siemens - une sorte d'empreinte digitale intégrer à  un dispositif de contrôleur logique programmable (PLC) - et puis il injecte son propre code dans ce système. Le chercheur doit présenter ses conclusions lors d'une conférence de sécurité à huis clos dans le Maryland, cette semaine, qui comprendra également une discussion technique des ingénieurs de Siemens.

Des soupçons et un consensus


Concernant l'objectif, il semble que l'usine iranienne d'enrichissement d'uranium ait subi quelques ralentissements, quelques semaines après la naissance officielle de Stuxnet. Par ailleurs des photos montrent, que cette centrale était équipée de système Siemens.  Ralph Langner pense qu'il est possible que Bushehr pourrait avoir été infecté par l'entrepreneur russe qui est en train de construire l'installation, JSC Atomstroyexport. Récemment ce dernier  avait vu son site Web piraté et certaines de ses pages web sont toujours bloquées par les logiciels de sécurité, car ils sont connus pour héberger des logiciels malveillants. Ce n'est pas un signe rassurant pour une société s'occupant d'intérêts nucléaires.

De son côté, Eric Byres, un expert en sécurité de systèmes industriels a suivi Stuxnet depuis qu'il a été découvert. Au début, il le pensait conçu pour espionnage, mais après avoir lu l'analyse de Ralph Langner, il a changé d'avis. Une des éléments importants trouvés est que Stuxnet identifie enfin sa cible, il apporte des modifications à un morceau de code que Siemens appelle « Organisational Block 35 ». Cette composante surveille les opérations critiques d'une usine - qui ont besoin d'un temps de réponse de 100 millisecondes. En modifiant ce bloc, le ver peut facilement bloquer des centrifugeuses d'une usine de retraitement, mais elle pourrait être utilisée pour frapper d'autres cibles, explique Eric Byres et d'ajouter « la seule chose que je peux dire, c'est que c'est quelque chose conçu pour détruire ».

La création de Stuxnet a engendré quatre attaques de type zero-day et un système de communications peer-to-peer, compromettant les certificats numériques appartenant à Realtek Semiconductor et JMicron Technology. Il dispose d'une connaissance approfondie des systèmes industriels et ne correspond pas au travail d'un hacker lambda. L'année dernière, des rumeurs ont estimé qu'Israël pourrait engager une cyber-attaque contre les installations nucléaires de l'Iran.

Les représentants du gouvernement iranien n'ont pas commenté ces différentes informations, mais des sources au sein du pays disent que l'Iran a été durement touché par le ver. Lors de sa découverte, 60% des ordinateurs infectés par Stuxnet étaient situés en Iran, selon Symantec. Nonobstant, Ralph Langner prévient « le problème n'est plus Stuxnet qui est de l'histoire ancienne. Le problème, c'est la prochaine génération de logiciels malveillants qui vont en découler ».

 

Illustration: Centrale de Bushehr en Iran

Crédit Photo: D.R