Aller au contenu

Stuxnet "une nouvelle forme de cybercriminalité"

Non

Par Non
dans Science et technologie

Messages recommandés

Non

Non

Posté
Posté

http://www.lemagit.fr/article/kaspersky-sc…bercriminalite/

Stephan Tanase, chercheur en sécurité chez Kaspersky, revient avec nous sur le ver Stuxnet, un ver très original, tant dans son niveau de sophistication que dans sa cible : les systèmes de gestion automatisée d’infrastructures industrielles automatisées. Des systèmes dits Scada que, jusqu’ici, beaucoup pensaient à l’abri des menaces informatiques du fait de leur faible ouverture sur l’extérieur. Mais Stuxnex change radicalement la donne.

LeMagIT : En quoi Stuxnet est-il si original ?

Stephan Tanase : Trois choses nous marquées lorsque nous nous sommes penchés sur Stuxnet. La première, c’est que Stuxnet cible des choses très spécifiques : des systèmes Scada utilisés pour automatiser le contrôle d’infrastructures industrielles… des infrastructures clé du monde dans lequel nous vivons.

La seconde est le fait que Stuxnet utilise deux certificats numériques pour signer ses fichiers, des certificats qui appartiennent à deux authentiques constructeurs de matériel informatique, Realtek et JMicron, et qui leur ont été volés. Pour les systèmes d’information, ce n’est pas anodin : cela signifie qu’une signature par certificat numérique ne permet pas d’établir une confiance absolue; jusqu’ici, les logiciels malveillants se contentaient de certificats auto-signés, pas d’authentiques certificats volés.

La troisième est que Stuxnet exploite quatre failles zero day [des failles qui n’avaient pas encore découvertes et éventuellement comblées; à ce jour seules deux d’entre elles ont été publiquement dévoilées]. C’est tout bonnement ahurissant. D’habitude, soit les logiciels malveillants n’exploitent pas de vulnérabilité du tout et se contentent d’ingénierie sociale, soit ils exploitent d’anciennes vulnérabilités, déjà corrigées, misant sur le fait que les dernières mises à jour n’ont pas été installées.

Que cela nous apprend-il au sujet des auteurs de Stuxnet, voire de leur cible et de leurs motivations ?

Nos seules certitudes sont liées à ce qui se trouve dans le logiciel malveillant. Le niveau de complexité et de sophistication de Stuxnet nous indique que ses auteurs disposaient de ressources importantes. On peut clairement dire qu’il ne s’agit pas d’un jeune adolescent qui s’ennuyait dans sa chambre, ni même d’un groupe d’amateurs en manque de sensations fortes. Derrière Stuxnet, il y a clairement une organisation solide bénéficiant d’importants financements. Et beaucoup de préparation : il faut beaucoup d’informations venant de l’intérieur pour réaliser un logiciel malveillant ciblant des systèmes SCADA et capable d’injecter du code dans les contrôleurs logiques programmables (PLC). JMicron et Realtek ont leurs sièges respectifs dans la même zone d’activité de Taïwan; là encore, il faut imaginer des liens avec des personnes ayant un accès à l’intérieur de ces bureaux, ou bien… la diffusion ciblée de clés USB infectées, sur le parking, pour contaminer les ordinateurs des employés.

Qui plus est, après analyse, il faut bien relever que les quatre failles utilisées par Stuxnet ne l’ont été par aucun autre logiciel malveillant : elles ont été trouvées pour Stuxnet. Et qu’en outre, elles concernaient toutes les versions de Windows, jusqu’aux plus récentes.

Surtout, on touche à un tout nouveau genre de cybercriminalité susceptible d’affecter le monde physique et notre vie quotidienne. On s’attendait à ce que cela finisse par arriver. Mais nous n’en sommes pas moins surpris par Stuxnet.

Qu’est-ce que cela doit changer dans notre manière d’appréhender la sécurité informatique et l’exposition au risque ?

Cela doit amener ceux qui gèrent des infrastructures critiques à revoir leur approche sur la sécurité. Ce qui m’a frappé lorsque je me suis penché sur le produit Siemens visé par Stuxnet, c’est que l’éditeur recommande de ne pas installer de solution de sécurité au motif que cela pourrait ralentir la machine, ou encore que Siemens recommande de ne pas changer le mot de passe par défaut d’accès aux bases de données de son outil. Clairement, ces gens-là n’ont pas une conscience très aigüe des questions de sécurité. Je peux le comprendre : leurs outils fonctionnent sur un réseau totalement isolé d’Internet; il y a de quoi se sentir en sécurité… Mais voilà, des personnels se déplacent, utilisent des clés USB, et l’infection peut se développer - à leur insu. C’est un autre exemple de l’importance du facteur humain dans la sécurité.

José

José

Posté
Posté
Le niveau de complexité et de sophistication de Stuxnet nous indique que ses auteurs disposaient de ressources importantes. On peut clairement dire qu’il ne s’agit pas d’un jeune adolescent qui s’ennuyait dans sa chambre, ni même d’un groupe d’amateurs en manque de sensations fortes. Derrière Stuxnet, il y a clairement une organisation solide bénéficiant d’importants financements

De fait, à partir du moment où 60% des ordinateurs infectés par ce virus se trouvent en Iran, on peut légitimement suspecter une action des services secrets israéliens et/ou occidentaux. En effet, on observe que ce virus s'attaque surtout à des fichiers concernant des dispositifs industriels. On peut donc imaginer que l'on s'attaque d'une manière ou d'une autre à la capacité de recherche industrielle iranienne. Sans doute dans le cadre du programme nucléaire iranien. Le tout sans virer dans le consirationnisme de base : le Financial Times évoquait déjà de possibles sabotages des centrifugeuses nucléaires (20% foutus et le reste en mauvais état) : http://www.ft.com/cms/s/dc135fc6-95af-11df…guerra-56481%2F

Invité jabial

Invité jabial

Posté
Posté
Dérision a part, je me demande pourquoi il n'y a pas (ou peu ?) de virus sur des systèmes tel IOS (cisco) ?

Réfléchis. Si quelqu'un met l'argent et le temps nécessaire pour développer un outil aussi spécialisé, tu crois qu'il va le diffuser pour que Cisco mette en place des contre-mesures ? Au contraire, un tel outil est d'autant plus efficace qu'il reste secret et est utilisé avec parcimonie contre des cibles désignées.

h16

h16

Posté
Posté
Dérision a part, je me demande pourquoi il n'y a pas (ou peu ?) de virus sur des systèmes tel IOS (cisco) ?

Il y en a. Mais … chut.

Bastiat

Bastiat

Posté
Posté
Réfléchis. Si quelqu'un met l'argent et le temps nécessaire pour développer un outil aussi spécialisé, tu crois qu'il va le diffuser pour que Cisco mette en place des contre-mesures ? Au contraire, un tel outil est d'autant plus efficace qu'il reste secret et est utilisé avec parcimonie contre des cibles désignées.

Ok, mais les kits d'intrusions suffisamment customisés (voir maison) et confidentiels pour ne pas être détectés par les anti-virus existent aussi dans le monde info de l'entreprise. Ça n'est nullement incompatibles avec des cochonneries développées par pur esprit de vandalisme.

jubal

jubal

Posté
Posté
Ok, mais les kits d'intrusions suffisamment customisés (voir maison) et confidentiels pour ne pas être détectés par les anti-virus existent aussi dans le monde info de l'entreprise. Ça n'est nullement incompatibles avec des cochonneries développées par pur esprit de vandalisme.

Oui mais developper un virus windows est (relativement) facile. Developper un virus pour IOS c'est deja autre chose, de travaux publiques la dessus je ne connais que ceux de FX (phenoelit).

Le tout sans virer dans le consirationnisme de base

Que le gouvernement US cherche a saboter et a hacker les resaux iraniens c'est evident, voir presque de notoriete publique depuis un certain temps.

On est effectivement ici tres loin du conspirationnisme, il suffit de se demander "si j'etais a leur place, est ce que je le ferais ?".

Chitah

Chitah

Posté
Posté
Cela doit amener ceux qui gèrent des infrastructures critiques à revoir leur approche sur la sécurité. Ce qui m’a frappé lorsque je me suis penché sur le produit Siemens visé par Stuxnet, c’est que l’éditeur recommande de ne pas installer de solution de sécurité au motif que cela pourrait ralentir la machine, ou encore que Siemens recommande de ne pas changer le mot de passe par défaut d’accès aux bases de données de son outil.

:icon_up:

C'est vrai, n'installons pas d'extincteurs, ça prend de la place, et puis les systèmes d'alarmes ça bouffe de l'électricité. Les serrures aux portes, c'est chiant, à chaque fois faut sortir son trousseau de clé, laissons les portes ouvertes.

Au-delà de la capacité de nuisance de ces virus, visant à détruire, l'intérêt est aussi peut-être de devenir un outil de négociation, sur le thème "on connait vos faiblesses, il suffit d'appuyer sur un bouton pour que telle usine de médicaments ou de crèmes glacées soit paralysée pendant tant de temps".

Chitah

Chitah

Posté
Posté

Un article qui appelle au calme sur le sujet : STUXNET, OU LE MYTHE DE LA CYBERGUERRE MONDIALE

Comme le fait remarquer Daniel Ventre, ingénieur d’études au CNRS et spécialiste français de la cyberguerre*, “Stuxnet est sur le Net depuis plus d’un an. Il a pu être reprogrammé pour s’attaquer aux systèmes SCADA, mais la semaine prochaine, nous découvrirons peut-être qu’il visait une autre cible. Par ailleurs, il n’y a aucune preuve tangible qu’il s’attaque délibérément à l’Iran”. Jusqu’à maintenant, selon des chiffres du mois d’août fournis par Microsoft, le virus aurait affecté plus de 45 000 ordinateurs dans le monde, du Pakistan à l’Inde, de l’Indonésie à l’Iran, en passant par le Brésil et les États-Unis. Pour justifier leur propos, les experts affirment que 60% des machines infectées se trouvent au cœur de la République islamique. A cela rien d’étonnant. Depuis les années 70, non sans quelques errements diplomatiques, Siemens (et avant elle, sa filiale Kraftwerk Union) a signé des contrats avec l’Iran, ce qui rend les systèmes d’administration de son parc informatique particulièrement perméables au ver.
TODA

TODA

Posté
Posté
Cela me rappelle "Softwar" de Thierry Breton et Denis Beneich. A l'époque (1984), je l'avais trouvé passionnant (aura-t-il résisté à l'épreuve du temps?).

http://fr.wikipedia.org/wiki/Softwar

J'ai relu récemment Vatican III toujours de Thierry Breton…

Si la forme a un peu vieilli, (héros type James Bond , guerre froide, avec le monde musulman en relève bloc communiste), le fond de guerre technologique avec contrôle des "logiciels" pilotant armes et communications me semble avoir conservé tout son intérêt…

jubal

jubal

Posté
Posté
Un article qui appelle au calme sur le sujet : STUXNET, OU LE MYTHE DE LA CYBERGUERRE MONDIALE

Oui c'est difficile de dire qui l'a cree et qui etait la cible, on peut tout imaginer y compris que ca soit le gouvernement chinois ciblant un satellite indien.

Mais ce qui est sur c'est qu'il a demande beaucoup de travail et de connaissance pour le faire, et qu'il cible quelque chose de tres precis.

Contrairement a ce que dit l'article c'est tres rare un virus qui a une cible de ce type. En fait je n'en connais aucun, il y a un d'autres exemples ?

  • 2 weeks later...
wizard

wizard

Posté
Posté

Bonjour jubal,

Oui c'est difficile de dire qui l'a cree et qui etait la cible, on peut tout imaginer y compris que ca soit le gouvernement chinois ciblant un satellite indien.

Mais ce qui est sur c'est qu'il a demande beaucoup de travail et de connaissance pour le faire, et qu'il cible quelque chose de tres precis.

Contrairement a ce que dit l'article c'est tres rare un virus qui a une cible de ce type. En fait je n'en connais aucun, il y a un d'autres exemples ?

C'est une belle opération qui consiste à :

1) distraire

2) divertir

3) diviser

pour nourrir un discours alarmiste et sécuritaire sur les menaces potentielles… don't believe the hype !

Bien à toi,

w i z a r d

Rincevent

Rincevent

Posté
Posté
Bien à toi,

w i z a r d

Pas la peine de signer ses messages, sur le Net, et spécialement dans un forum. :icon_up:

  • 1 month later...

Archivé

Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.

Aller sur la liste des sujets
×
×
  • Créer...