Stuxnet : Les origines

Les cinq premières victimes de Stuxnet avaient été minutieusement choisies par les pirates dans le but d’attaquer une centrale d’enrichissement d’uranium à Netenz.

Il y a un an, l’histoire de Stuxnet, le ver informatique, faisait la une des journaux et semait la panique parmi les professionnels de la sécurité informatique. On ne sait toujours pas qui l’a créé et pourquoi, cependant une rumeur voudrait que ce soit une invention des services secrets américains et israéliens en vue de saboter le programme nucléaire iranien. Cette hypothèse est tout à fait probable : ce malware a en effet rendu les centrifugeuses servant à enrichir l’uranium inopérables, ce qui a retardé le programme nucléaire iranien de plusieurs années.

Les créateurs de Stuxnet sont parvenus à infecter des appareils déconnectés et protégés, ce qui a provoqué une vague de panique. Puis, selon plusieurs spécialistes, ils ont perdu le contrôle du ver qui a commencé à se propager activement, mais sans provoquer de dégâts visibles sur les ordinateurs domestiques ou d’entreprises, étant donné qu’il avait initialement été créé pour s’attaquer à des systèmes industriels bien précis.

Premières victimes, ou ‘victimes zéro

Le 11 Novembre, le livre Countdown to Zero Day de la journaliste américaine Kim Zetter sortait en librairies. Nous avons profité de cette occasion pour publier quelques anecdotes extraites du livre sur Stuxnet, et qui ne sont pas connues du grand public. On ne s’attardera pas sur les débuts du ver, mais plutôt sur ses itérations qui ont conduit à de nombreuses situations compromettantes entre 2009 et 2010.

On a pu reconstituer facilement ce qui c’était passé à l’époque grâce à l’une des caractéristiques du malware : il a gardé en mémoire l’histoire des machines compromises, y compris leur nom, leur nom de domaine et leur adresse IP. Etant donné que ces données sont constamment actualisées, nous avons pu remonter à ses origines.

Symantec, qui a publié « W32.Stuxnet Dossier » en Février 2011, a été capable de déterminer que la distribution avait commencé avec cinq organisations (deux d’entre elles ayant été deux fois victimes d’attaques : 2009 et 2010), qui à l’époque avait été gardé secrètes. Pour les identifier, nous avons dû travailler pendant 2 ans et analyser environ 2000 fichiers.

Conseils