10mar. 2012
Stuxnet, la cyber guerre a déjà commencé.
19:09 - Par admin - Cyber guerre - 2 commentaires
Au mois de juin 2010, une société de sécurité informatique biélorusse VirusBlokAda annonce avoir découvert un nouveau virus de type cheval de Troie, qui s’attaque aux systèmes Windows. La communauté des experts en sécurité est abasourdie: ce virus utilise un grand nombre de vulnérabilités jamais découvertes encore, usurpe des certificats de constructeurs informatiques majeurs, et s'attaque à un logiciel qui contrôle des processus industriels très répandus. Va-t-on assister à des catastrophes industrielles: coupures électriques, centrales nucléaires qui s'emballent ?
Au fur et à mesure que le code est décortiqué, la communauté informatique va de découverte en découverte. Le virus aurait été lâché dans la nature en juin 2009, et se propage d'ordinateur en ordinateur grâce à des clés USB et/ou le réseau local. Près d'un an après avoir été introduit, l'objectif du virus commence à se dessiner.
Stuxnet, anatomie d'une cyberarme
Stuxnet est un chef d’œuvre de virologie numérique. Jamais un virus aussi complexe n'avait été découvert. Le temps de travail estimé pour le programmer est de 10.000 hommes.jours, Symantec qui en a fait l'analyse en février 2011 estime qu'une équipe de 5 à 10 personnes a dû y travailler pendant 6 mois. Qu'est ce qui fait que Stuxnet est l’œuvre de professionnels, et peut donc être qualifié sans hésiter de cyberarme ?
Stuxnet comporte 4 failles 0-days. Une faille 0-days est une vulnérabilité qui est immédiatement exploitable pour celui qui en aurait connaissance. Les failles 0-days, trous de sécurités des logiciels, sont l’objet de toutes les attentions des éditeurs de logiciels qui créent en permanence des rustines pour les colmater. Un programmeur qui découvre une faille 0-days peut soit la signaler à l'éditeur, soit s'il est malhonnête tenter de la monnayer[1]Le prix d'une faille 0-days s'élève de plusieurs milliers à plusieurs centaines de milliers de dollars pour les plus critiques. Ceci explique que sur les millions de virus trouvés chaque année, seuls quelques dizaines exploitent des vulnérabilités 0-days.
Stuxnet utilise deux certificats de sécurité de constructeurs reconnus. Afin de pouvoir s'installer sur une machine, Stuxnet utilise des certificats de sécurité. Ces certificats de sécurités sont des codes cryptographiques dont la technologie est à ce jour inviolée. Impossible de les avoir créés, il faut donc, ou les avoir volés (y compris informatiquement[2] )ou avoir bénéficié de complicités dans les deux entreprises. Ces deux entreprises sont des poids lourds de l'industrie électronique: Jmicron et Realtek d'origine Taiwanniene, dont les sièges se trouvent -coïncidence?, dans la même zone d'activité.
La charge utile de Stuxnet s'attaque à Step7 de Siemens En informatique, comme en armement, il y a le vecteur et la charge utile. Le vecteur était adapté à la propagation au sein de structures non reliées à Internet. En effet la propagation de Stuxnet se faisait grâce à 2 des 0-days évoquées plus haut: soit par clé USB, soit en utilisant le réseau local via un service de partage d'impression. Voici deux méthodes particulièrement adapté à des installations industrielles isolées du réseau des réseaux. Une fois actif sur une machine, Stuxnet vérifie si le logiciel Step 7 de Siemens est installé, si oui il en modifie une librairie. Step7 sert à programmer des PLC (Programmable Logic Controller). Ce sont des petits boitiers qui permettent de contrôler une machine et de renvoyer des rapports d’états. Le langage utilisé par le PLC n'a rien à voir avec les langages de programmation informatique et demandait donc une expertise dans ce domaine. Les développeurs de Stuxnet avaient donc une bonne connaissance de l'architecture SCADA[3] de Siemens et notamment du mot de passe administrateur [4]. Stuxnet ne se contente pas de modifier les ordres que va commander le PLC il remplace les données d'état (ce que voit l'opérateur sur son écran de contrôle) par des données normales. En étudiant le code source, des chercheurs de Symantec ont constaté que Stuxnet n'active la modification du PLC que s'il trouve une cible très particulière. Quelle est-elle ?
Stuxnet est un missile à tête chercheuse à la précision chirurgicale Aidé par des ingénieurs spécialistes des PLC, les ingénieurs de chez Symantec ont essayé de trouver quelle était cette cible si particulière que cherchait Stuxnet. Ils ont découvert qu'il s'attaquait à deux types de modules de contrôle de fréquences[5], qui seraient de plus disposé de manière précise[6]. Que fait Stuxnet une fois qu'il a trouvé cette fameuse installation? Il fait varier de manière temporaire la vitesse de rotation du système en lui faisant effectuer des pointes de vitesses. Ces pointes de vitesses peuvent donc endommager un système réclamant une vitesse de rotation précise.
En août 2010 les chercheurs de Symatec aidés par Ralph Langner, un expert en sécurité industrielle en viennent à la conclusion que Stuxnet a été créé exclusivement pour détruire les centrifugeuse servant à enrichir l'uranium du centre de Natanz, en Iran. D'après toutes les informations de sources ouvertes dont on dispose, cette installation remplit tous les critères décrits dans le code du virus. De plus, les problèmes de sabotage des centrifugeuse ont été évoqués plus tard par différentes sources.[7]
Cette charge utile n'était donc pas orientée vers de l'espionnage industriel, mais bien du sabotage.
Photos officielles de la visite du président Ahmadinejad à Natanz, traversant des rangée de centrifugeuses.
Stuxnet et mystification ?
Dans ce tableau digne d'un film d'espionnage, où les gentil et les méchants apparaissent clairement, des voix dissonantes s'élèvent cependant. De nombreux blogueurs et experts israéliens développent un argumentaire pour affirmer que Stuxnet ne serait pas le fait de professionnels. Ils critiquent ainsi le fait que Stuxnet ne soit pas furtif (à ce sujet, voir NanoJV sur Stuxnet). Pour autant, il est impossible pour un virus de rester complétement invisible. Dans le cas de Stuxnet, si on examine les fins probables poursuivies: endommager les centrifugeuses de Natanz, alors le but est atteint - même s'il l'on peut discuter de l'ampleur et de l'efficacité de l’attaque, et le virus découvert certainement bien après le méfait.
Un autre auteur développe la thèse d'une piste Sinno-finlandaise[8]. La société finlandaise Vacom possède son usine à Shozou en Chine, dans la même ville que Realtek, le fabriquant de puces électroniques dont le certificat a été dérobé. En ajoutant le fait que la Chine a depuis 2006 , un accès au code source de windows, il apparait plus facile de créer les 4 vulnérabilités utilisées dans Stuxnet. La raison de l'attaque serait une stratégie indirecte pour contraindre l'Iran à arrêter son programme nucléaire. La Chine est le troisième client de l'Iran pour le pétrole et ne pourrait se permettre de prendre des sanctions ouvertes contre l'iran. En revanche, les chinois on montrés qu'ils étaient opposés à la fabrication d'une arme nucléaire en Iran.
Ces explications ne nous apparaissent pas convaincantes. Mais il est intéressant de noter que dans le contexte clandestin et opaque du Cyberespace, il est toujours possible d'évoquer plusieurs pistes pour une attaque.
Vue par satellite du centre d'enrichissement nucléaire de Natanz.
Enseignements
A la lumière de tous ces éléments, il apparait bien cependant que Stuxnet est l’œuvre d'un ou plusieurs États, probablement Israël avec l'aide des Etats-Unis[9]. Bien sûr, cette piste, qui apparait la plus probable au vu de la cible de Stuxnet, n'est pas démontrable rigoureusement, en l'absence de déclarations officielles d’Israël ou des Etats-Unis, déclarations qui n'auront certainement pas lieu. Cette explication nous semble en tout cas concevable car elle répond à la question : à qui profite le crime?
Ainsi Stuxnet illustre que l'ère des cyber-offensives a commencé. Des gouvernements n'hésitent plus à lâcher dans la nature des chevaux de Troie développés par des équipes de spécialistes. Surtout, Stuxnet a été découvert un peu par hasard par une entreprise informatique de seconde zone, VirusBlokada, à cause d'un ordinateur qui redémarrait sans raison liée à Stuxnet; puis a été décortiqué par 3 analystes de Symantec animé par la volonté de mettre à nu le virus. Programmé pour s'autodétruire en juin 2012, Stuxnet aurait aussi bien pu rester ignoré du grand public. Pour un Stuxnet découvert combien d'autres restent cachés ?
Par ailleurs, même si le Cyberespace permet en apparence de mettre tous les acteurs sur un pieds d'égalité, la réalité est bien différente. Les pays occidentaux ont un accès privilégié aux codes sources de certains logiciels, des facilités d'usurper les certificats de sécurité, et une connaissance multidisciplinaire qui permet les transferts de charge des virus dans la vie réelle. L'appui des Etats-Unis, pays d'origine des systèmes d'exploitations et des principaux équipement informatique apparait comme un soutien précieux. Au contraire, agir contre eux ou sans eux suppose un surcroit d'efforts au vu des solutions de cyberdéfense dont ils disposent.
En définitive, que penser du premier voile levé sur le monde clandestin de la cyberguerre?
1. Les puissances militaires sont dotés d'unités cyber-offensives;
2. La complicité des Etats-Unis, est comme dans la guerre conventionnelle un avantage de poids;
3. Les cyber-offensives ont vocation à rester dans la clandestinité bien que le hasard puisse les placer sous le feu de l'actualité;
4. Les entreprises civiles de sécurité informatique possèdent une expertise avérée pour intervenir dans le domaine de la cyberguerre, et bien sûr pour la cyberdéfense en général ;
5. Le transfert de la charge ("payload") dans la vie réelle reste cependant l'affaire de spécialistes (éventuellement civils): la cyberdéfense nécessite donc une approche multidisciplinaire et non exclusivement orientée "technologie de l'information".
En conclusion, nous voudrions évoquer deux ouvertures. Stuxnet était doté d'un module de communication qui envoyait des rapports sur deux adresses www.mypremierfutbol.com et www.todaysfutbol.com[10]. Cette piste n'a pu être remontée par Symantec, car elle aurait exigé des pouvoirs judiciaires internationaux pour saisir et analyser les logs des serveurs afin d'essayer de tracer le destinataire final. Le brouillard de guerre du cyberespace est bien là, en attendant des avancées en terme de sécurisation du réseau des réseaux qui pourraient arriver dans le futur.
Enfin, les questions se posent sur la prolifération. Stuxnet possédait une structure modulable et configurable. Bien sûr, il ne sera pas possible pour un pirate de réutiliser Stuxnet en l'état, et son potentiel de nuisance est aujourd'hui certainement nul. Pour autant, le virus en tant qu'arme a cela de spécifique qu'il est à la portée de tous. Peu de gens sauront comprendre comment il fonctionne et un encore un plus petit nombre sera capable de le modifier. Pour autant, que ce serait-il passé si au lieu d'un développeur Biélorusse, Stuxnet avait été découvert pas un individu mal intentionné ? La question de la prolifération est donc centrale dans le débat sur ces "cyberarmes".
Pour aller plus loin:
Pour ceux qui veulent en savoir plus, voici quelques liens sur Stuxnet. D'abord l’excellent article de Wired, romancé et passionnant , pour ceux qui savent lire l'anglais: How Digital Detectives Deciphered Stuxnet on Wired
Le blog de Ralph Langner, le spécialiste de sécurité industrielle allemand qui a permi d'identifier la cible de la charge offerte de Stuxnet: Un billet présentnant la vidéo d'explication du blog de Ralph Langner La video au TED talks de Ralph Lagner sur Stuxnet
Enfin, l'entreprise de sécurité informatique Symantec qui a décortiqué le virus a produit un rapport complet: Le dossier sur Stuxnet par Symantec
Un article complet du New york Times, avec quelques citations intéressantes qui accréditent la thèse communément admise, mais le fait que le nom de "Siemens" ait été mal orthographié, nous engage à le prendre avec des pincettes quand à la vérification des sources.
Enfin pour nuancer la thèse la plus probable et citer un point de vu différent du notre, tous les articles de NanoJV sur Stuxnet dont la couverture de l'affaire a été très riche, et dont la lecture permet d'examiner quelques zones d'ombres.
Notes
[1] A propos des vulnérabilités 0-days voire l'excellent article de Robert Jérôme sur Journal du Net.
[2] Zeus, un virus qui permet de voler des certificats (en)
[3] Supervisory Control And Data Acquisition, terme générique pour désigner les systèmes de contrôle et de surveillance industriels, article de wikipedia en anglais
[4] Pour cette dernière donnée on peut supposer que même un hacker isolé aurait pu trouver l'information, qui avait été publiée en avril 2008 sur des forums spécialisés en produits Siemens en Allemagne et en Russie
[5] Les références de ces modules, inscrit dans le code de Stuxnet renvoient à deux références précises "Vacon NX frequency converters" fabriqué par Vacon une entreprise Finlandaise, et la deuxième un convertisseur de fréquence fabriqué par Fararo Paya, entreprise iranienne
[6] Le code spécifie au moins 33 convertisseur et des systèmes organisés en cascade de 164 systèmes
[7] Par exemple l'AIEA en voyant sur les caméras de vidéo surveillance, le personnel de Natanz remplacer plus de centrifugeuses que d'habitude; le président Ahmadinejad lui-même ou encore Wikileak parle d'un accident à Natanz voir également cet article du Washington post
[8] L'article paru dans Forbes ici
[9] "new American efforts to subtly sabotage Iran’s nuclear infrastructure, a major covert program that Mr. Bush is about to hand off to President-elect Barack Obama" Plus d'un an avant la découverte de Stuxnet, New York Times, 11 janvier 2009 et voir également la déclaration d'un général israélien
[10] ces deux sites renvoyaient à des serveurs au Danemark et en Malysie, le trafic à destination de ces sites a été détourné pendant quelques semaines à la demande de Symantec pour analyser les données recueillies par Stuxnet, puis l'Iran a bloqué le trafic sortant à destination de ces adresses
2 commentaires
Bonjour, un résumé accessible et intéressant. Il me semble que l'étude Kaspersky 'au long cours', et leurs nombreuses publications, mériteraient aussi d'être citées, non ?
=> http://www.securelist.com/en/blog?t...
Merci pour votre commentaire. Le rapport de Kaspersky peut être une lecture intéressante pour prolonger le sujet, tout comme d'autres sociétés de sécurité informatiques qui ont contribué au sujet, le rapport ESET par exemple: http://www.eset.com/resources/white-papers/Stuxnet_Under_the_Microscope.pdf. Cependant nous voulions citer la contribution qui nous semble majeure, et qui est bien celle de Symantec.