Il est devenu un cas d’école dans le domaine de la cybersécurité. Stuxnet, un ver très sophistiqué, a frappé en 2010 les automates industriels de type SCADA pour bloquer les centrifugeuses capables d’enrichir l’uranium. Il aurait infecté des centaines de milliers d'appareils et causé des dommages physiques à des centaines de machines. Si les soupçons se sont rapidement tournés vers les Etats-Unis et Israël pour le développement de ce malware, une enquête du journal néerlandais Volksrant, donne d’autres informations sur cette campagne.

A partir de plusieurs entretiens, nos confrères ont indiqué que l’AIVD (service de renseignement des Pays-Bas) a recruté Erik van Sabben, un ressortissant néerlandais alors âgé de 36 ans travaillant dans une entreprise de logistique à Dubaï. Il aurait été embauché en 2005, quelques années avant le déclenchement de Stuxnet, après que les services de renseignement américains et israéliens eurent demandé de l'aide à leur homologue néerlandais. Erik Van Sabben était le candidat idéal avec une formation technique, des voyages d’affaires en Iran et marié à une Iranienne.

Un fin tragique et une campagne coûteuse

Le malware a été installé sur logiciel d'un système de pompe à eau que le ressortissant avait installé dans le complexe nucléaire de Natanz. Un scénario qui interroge les spécialistes de la cybersécurité comme le souligne Ralph Langner, « une pompe à eau ne peut pas transporter une copie de Stuxnet ». Une chose est sûre, Eril Van Sabben a ensuite quitté rapidement l’Iran pour rentrer à Dubaï. Lieu où il décédera d’un accident de moto deux semaines après l’attaque de Stuxnet.

Le journal a aussi interrogé Michael Hayden, qui était à l'époque le chef de la CIA. Il a notamment indiqué que le développement de Stuxnet avait coûté entre 1 et 2 Md$. Ce montant est contesté par Costin Raiu, ancien directeur de l’équipe de recherche de Kaspersky et Mikko Hypponen, directeur de la recherche chez WithSecure. Ils évoquent plutôt des millions de dollars pour un travail qui aurait commencé en 2007. Enfin, l’enquête montre que les services de renseignements néerlandais n’ont pas été informés par les américains ou les israéliens du projet Stuxnet.