Il y a un an, l’histoire de Stuxnet, le ver informatique, faisait la une des journaux et semait la panique parmi les professionnels de la sécurité informatique. On ne sait toujours pas qui l’a créé et pourquoi, cependant une rumeur voudrait que ce soit une invention des services secrets américains et israéliens en vue de saboter le programme nucléaire iranien. Cette hypothèse est tout à fait probable : ce malware a en effet rendu les centrifugeuses servant à enrichir l’uranium inopérables, ce qui a retardé le programme nucléaire iranien de plusieurs années.
Les créateurs de Stuxnet sont parvenus à infecter des appareils déconnectés et protégés, ce qui a provoqué une vague de panique. Puis, selon plusieurs spécialistes, ils ont perdu le contrôle du ver qui a commencé à se propager activement, mais sans provoquer de dégâts visibles sur les ordinateurs domestiques ou d’entreprises, étant donné qu’il avait initialement été créé pour s’attaquer à des systèmes industriels bien précis.
Premières victimes, ou ‘victimes zéro‘
Le 11 Novembre, le livre Countdown to Zero Day de la journaliste américaine Kim Zetter sortait en librairies. Nous avons profité de cette occasion pour publier quelques anecdotes extraites du livre sur Stuxnet, et qui ne sont pas connues du grand public. On ne s’attardera pas sur les débuts du ver, mais plutôt sur ses itérations qui ont conduit à de nombreuses situations compromettantes entre 2009 et 2010.
On a pu reconstituer facilement ce qui c’était passé à l’époque grâce à l’une des caractéristiques du malware : il a gardé en mémoire l’histoire des machines compromises, y compris leur nom, leur nom de domaine et leur adresse IP. Etant donné que ces données sont constamment actualisées, nous avons pu remonter à ses origines.
Symantec, qui a publié « W32.Stuxnet Dossier » en Février 2011, a été capable de déterminer que la distribution avait commencé avec cinq organisations (deux d’entre elles ayant été deux fois victimes d’attaques : 2009 et 2010), qui à l’époque avait été gardé secrètes. Pour les identifier, nous avons dû travailler pendant 2 ans et analyser environ 2000 fichiers.
#Stuxnet Zero Victims The identity of the companies targeted by the first known cyber-weapon https://t.co/W8PVyGp7b3 pic.twitter.com/BWDkVqWPLq
#Stuxnet Zero Victims
The identity of the companies targeted by the first known cyber-weapon https://t.co/W8PVyGp7b3 pic.twitter.com/BWDkVqWPLq
— Dmitry Bestuzhev (@dimitribest) November 11, 2014
La première vraie itération de Stuxnet 2009 (qui fait référence à Stuxnet.a) a été créée le 22 Juillet 2009. Quelques heures après, le malware infectait un ordinateur de l’ISIE (International Society for Industrial Ecology). Il est peu probable que les coupables soient passés par un appareil de stockage amovible ; et il est pratiquement impossible qu’il ait pu infecter l’appareil en un laps de temps aussi court.
On a pu reconstituer facilement ce qui c’était passé à l’époque grâce à l’une des caractéristiques du malware : il a gravé l’histoire des machines compromises, y compris le nom, le nom de domaine et l’adresse IP dans sa mémoire.
Nous n’avons pas pu identifier de quelle organisation provenaient des données aussi effrayantes. Mais il y a de fortes chances qu’elles viennent de Foolad Technic Engineering Co, un producteur iranien spécialisé en systèmes d’automation pour des géants de l’industrie. Stuxnet peut endommager les rotors de la centrifugeuse mais contient aussi un module de logiciel espion et FIECO semblait la cible idéale pour ses créateurs. Ils considéraient probablement cette entreprise comme un moyen plus rapide d’atteindre leur objectif final et de collecter des données sur l’industrie nucléaire en Iran. En 2010, l’ordinateur a subit la troisième attaque par itération de Stuxnet.
« Domaine B«
Le « patient » suivant a été attaqué à trois reprises: en Juin 2009, puis en Mars et Mai 2010. C’est la deuxième attaque qui a provoqué l’épidémie mondiale Stuxnet 2010 (alias Stuxnet.b). Le domaine « behpajooh » a permis d’identifier immédiatement la victime : Behpajooh Co. Elec & Comp. Engineering. C’est une fois de plus une entreprise du secteur de l’industrie d’automation, qui travaille en collaboration avec de nombreuses autres entreprises. En 2006, le Khaleej Times, un journal basé à Dubai, révèlait qu’une entité domestique aurait envoyé par bateau et de manière illégale, des éléments permettant de construire une bombe nucléaire. On soupçonne la société « Bejpajooh INC », basée à Isfakhana. Le 24 avril 2014, Stuxnet a voyagé de Behpajooh au domaine de MSCCO. Le plus probable des candidats est le principal complexe métallurgique d’Iran, Mobarakeh Steel Company (MSC). On y utilise de nombreux ordinateurs, tous connectés à d’autres entreprises au quatre coins du monde. C’est la taille du réseau, qui a permit à Stuxnet de provoquer une épidémie mondiale: dès l’été 2010, le ver avait infecté des entreprises en Russie et Biélorussie.
« Domaines C, D and E«
Le 7 Juillet 2009, Stuxnet a infecté l’ordinateur de l' »applserver » au sein du domaine NEDA. Dans ce cas, nous n’avons eu aucune difficulté à identifier la victime : Neda Industrial Group. En 2008, l’entreprise est examinée par le ministère de la justice américain et est accusée d’avoir exporté des substances interdites en Iran. En plus de NEDA, une deuxième organisation du domaine CGJ a été infectée. Après avoir effectué quelques recherches, nous avons découvert que c’était une fois encore une organisation reliée à l’industrie d’automation basée en Iran : Control-Gostar Jahed Company. C’est là que la propagation du malware s’est achevée, en dépit de son carnet d’adresse bien fourni et de son rayonnement international. Le dernier « patient zéro » se démarque par l’importante quantité de machines compromises : le 11 Mai 2010, Stuxnet a fini dans trois ordinateurs du domaine « KALA ». C’était probablement Kala Electric, alias Kalaye Electric Co. L’entreprise est considérée comme le principal développeur de centrifugeuses d’enrichissement d’uranium IR-1 et l’un des piliers du programme d’enrichissement d’uranium. Bizarre qu’il ne se soit pas fait attaqué avant.
https://vine.co/v/OmXpFXDjUIg
Epilogue
Après des attaques aussi sophistiquées (il n’est pas facile de rendre inopérable des centrales d’enrichissement d’uranium), on ne pensait pas que Stuxnet se propagerait de manière aussi primitive. D’ailleurs, à un moment il était totalement hors de contrôle, et dans le cas contraire, cela aurait été compliqué d’expliquer la magnitude de l’épidémie causée par le ver, qui s’éloignait de ses objectifs de départ.
Malgré tous ses défauts, le malware s’est avéré plutôt efficace : ses créateurs ont réussi à exécuter la subversion la plus importante au monde, et ont aussi marqué l’entrée de nouvelles armes dans le monde cybernétique.
Avant #Stuxnet, personne n’avait pensé à la sécurité des complexes industriels
Tweet
Avant #Stuxnet, personne n’avait pensé à la sécurité des complexes industriels: tout le monde partait du principe qu’en isolant un complexe des réseaux mondiaux, ce serait suffisant. Mais en réussissant à attaquer des machines déconnectées, les créateurs du ver ont marqué l’entrée dans une nouvelle ère dans le domaine de la sécurité. L’impact de Stuxnet peut seulement se comparer à celui du fameux Great Worm or Morris Worm, crée en 1988.