Le panier de crabes de Stuxnet

Guy Kindermans Rédacteur de Data News

Les attaques contre les systèmes ICT sont aussi anciennes que l’informatique elle-même. L’information est précieuse en effet, et les systèmes ICT riches en informations sont des cibles aussi attrayantes que les coffres-forts et autres cassettes à travers les siècles.

Les attaques contre les systèmes ICT sont aussi anciennes que l’informatique elle-même. L’information est précieuse en effet, et les systèmes ICT riches en informations sont des cibles aussi attrayantes que les coffres-forts et autres cassettes à travers les siècles. Vous comme moi luttons donc depuis belle lurette pour protéger nos ordinateurs de toutes les agressions possibles. Aujourd’hui, Stuxnet donne malheureusement à ce combat une toute nouvelle dimension.

Récapitulons un peu les faits pour la bonne compréhension. Stuxnet représente une attaque complexe et manifestement ultra-ciblée contre des installations industrielles qui exploitent les produits d’automatisation industriels de Siemens. Il en résulte que le fonctionnement de ces installations peut être saboté. Il s’agit là d’une attaque complexe, qui abuse des lacunes tant dans Windows que dans les produits qui tournent sur Windows et qui est capable d’influencer les éléments de commande industriels mêmes (Programmable Logic Controllers ou PLC) (*).

Les attaques contre des installations industrielles ne sont pas un phénomène nouveau. C’est ainsi qu’il y a des années déjà, le pilotage de satellites en a déjà fait les frais, de même que des réseaux de distribution de l’alimentation en électricité, pour ne citer que ces deux exemples.

Stuxnet est toutefois un ‘gamechanger’ et constitue en tant que tel et pour plus d’une raison un inquiétant panier de crabes.

L’oeuvre d’une équipe

Tous les experts sont d’accord pour dire que la complexité et la nature sophistiquée de Stuxnet et, partant, l’expertise et les moyens qu’il requiert, renvoient à une autorité qui serait le commanditaire et/ou le producteur de ce maliciel (malware). Stuxnet combine en effet quatre points faibles non corrigés dans Windows, dont deux qui n’ont pas encore été publiés (et qui ont assurément été acquis contre un solide montant), outre la manipulation malveillante de logiciels d’automatisation industriel, en l’occurrence le logiciel d’ingénierie Siemens Simatic Step 7 et WinCC, le logiciel de gestion des éléments de commande (SCADA, Supervisory Control and Data Acquisition).

En outre, une entreprise russe, active dans le secteur de l’énergie atomique, semble avoir trempé dans cette attaque. Ce genre de combinaison est le résultat du travail d’une équipe et pas d’un ‘nerd’ individuel travaillant dans un coin sombre. Bref, toute une organisation se dissimule derrière cette attaque, une organisation qui ne manque pas de moyens et d’expertise, ce qui ne fait qu’accroître la menace qui s’en dégage.

Israël?

La suggestion, selon laquelle il s’agirait d’un projet gouvernemental, combiné au nombre élevé de contaminations en Iran, éveille aussi directement chez de nombreux experts l’idée d’un cyber-conflit. Il y a évidemment beaucoup de pays qui ne portent pas l’Iran dans leur coeur, tout particulièrement en raison du programme controversé en matière d’énergie nucléaire appliqué par ce pays.

Et manifestement, ce serait précisément dans les projets iraniens locaux d’énergie nucléaire que Stuxnet se serait fait sentir. Les spécialistes font par exemple état de l’assez petit nombre de centrifugeuses au gaz qui ont été utilisées pour enrichir l’uranium (un processus nécessaire pour la production de combustible nucléaire et de matières atomiques).

Comme agresseurs possibles, le nom des Etats-Unis a été évoqué, mais aussi celui d’Israël. Ce dernier pays n’a lui-même pas d’unité ‘cyberwarfare’, mais a cependant déjà démontré dans le passé qu’il pouvait s’opposer aux menaces nucléaires de la part d’autres états (cfr. l’attaque contre le réacteur nucléaire irakien Osirak proche de Bagdad en 1981). Cette supposition a même encore été amplifiée par le nom d’un fichier dans Stuxnet, Myrthus, qui ferait référence au ‘livre d’Esther’ dans l’Ancien Testament, où l’on raconte comment, lors de l’exil en Babylonie, les Juifs ont reçu l’autorisation d’exterminer leurs ennemis.

Infrastructure critique

Quel que soit le nom de l’agresseur, il n’en reste pas moins qu’il s’agirait là d’un premier exemple manifeste, reconnu comme tel par un grand nombre de spécialistes, d’une attaque (assez réussie) dans le cyberespace. Les cas précédents, comme l’attaque lancée contre l’Estonie en 2007, plus toute une série d’autres agressions perpétrées contre des institutions publiques et des entreprises américaines et occidentales en général, avaient certes été éventuellement attribuées à des pays, mais cela n’a pas pu être démontré de manière irréfutable. C’est Stuxnet qui ouvrirait donc définitivement l’ère du cyber-conflit, et les pays (et les entreprises) ne peuvent donc plus fermer les yeux sur ce phénomène.

Voilà qui génère des réflexions sur la vulnérabilité de ‘l’infrastructure critique nationale’. Il s’agit là de l’ensemble des systèmes et services assurant le fonctionnement normal de notre société: alimentation en électricité, eau, gaz, télécom, transport, alimentation en carburant, distribution alimentaire, etc. Depuis longtemps déjà, les spécialistes en la matière demandent une protection de cette infrastructure, qui se trouve d’ailleurs majoritairement entre les mains d’entreprises. Stuxnet révèle clairement que des progrès doivent être rapidement enregistrés sur ce plan car la “période de grâce est désormais définitivement terminée”, comme l’a affirmé un expert allemand en sécurité.

Concrètement, cela induit un appel à mieux protéger l’ensemble, comme l’Europe le demande depuis tout un temps. En Belgique, une organisation liée à la sécurité publiait en 2008 encore un appel en vue de mener une meilleur stratégie dans ce domaine chez nous. Cela nécessitera notamment des efforts et une conscientisation nettement plus soutenus des entreprises mêmes car nombre d’installations vitales ont été développées et construites sans prendre en compte les dangers issus de l’étranger. Il faut donc accorder son attention non seulement aux systèmes qui sont reliés d’une manière ou d’une autre avec le monde extérieur, mais aussi à la protection des systèmes internes et à l’adaptation des procédures internes.

‘Point aveugle’ Des premières réactions aux questions relatives à Stuxnet, il appert en tout cas qu’il y a à ce propos un ‘point aveugle’ quasiment universel au sein des entreprises et des organisations. Il est vrai que ce n’est pas la première fois que l’on crie ‘au loup!’, sans que cela empêche le monde de tourner par la suite (très nombreux sont ceux qui sont encore et toujours sceptiques quant à la réalité de la menace du problème de ‘l’An 2000’ par exemple), mais Stuxnet démontre de manière irréfutable que le danger est cette fois bien réel et frappe à la porte ici et maintenant. Ce loup là a déjà vraiment montré ses crocs. Il serait aussi plus apaisant que le monde de l’automatisation industrielle fournisse davantage d’études à son sujet. Y est-on prêt? Ou bien y a-t-on déjà effectué des recherches qui n’ont pas encore été communiquées? Si tel était le cas, le moment semble opportun pour les sortir au grand jour.

Semi-malveillant En outre, il y a encore un dernier point particulièrement délicat. L’on prétend de manière générale que le maliciel Stuxnet donne l’impression d’un niveau d’expertise et de connaissance spécialement élevé. Pour clarifier les choses, je ne souhaite ici absolument pas accuser ou soupçonner qui que ce soit. Mais il est évident que les entreprises – surtout pour les aspects sécuritaires – ne doivent pas prendre à leur service des pirates malfaisants bien connus. Pour savoir comment provoquer des dommages, il ne faut en effet pas obligatoirement être un pirate. Un expert en la matière connaît simplement très bien les points faibles d’un système ou d’un produit en général.

Les entreprises enquêtent évidemment sur les personnes qu’elles engagent pour des emplois sensibles, mais les gens peuvent évidemment changer. Pour toutes sortes de raisons, il peut se développer une situation de type ‘white hat by day, black hat by night’, autrement dit semi-malveillante. Sans pour autant prétendre que tel est le cas de toute façon et/ou à grande échelle, mais le fait est que l’expertise doit quand même venir de quelque part.

Franchissons donc le pas logique suivant, une fois encore sans pointer un doigt accusateur vers quiconque: qui possède la plus grande expertise dans un produit spécifique? Son concepteur et son fabricant, bien sûr. Et voilà comment l’on ouvre un panier de crabes car qu’en est-il si le fabricant d’un produit donne un coup de main à une autorité militaire pour lancer une attaque dans le cyberespace? L’on se retrouve alors entièrement plongé dans un climat de méfiance total. Un problème qui se pose depuis longtemps déjà lors du développement de logiciels pour des entreprises de tiers. Cette poussée de méfiance n’est donc pas quelque chose de nouveau. Mais c’est là un point délicat, s’il en est: à qui faire encore confiance à un moment précis?

La morale de cette histoire, c’est que chaque utilisateur, chaque entreprise, chaque pays doit balayer devant sa porte, gérer et défendre ses propres intérêts. Et que Stuxnet représente une sonnette d’alarme finale pour qu’on consacre de l’attention aussi en dehors du monde classique des systèmes d’informations! L’on a certes souvent déjà crié ‘au loup!’, mais Stuxnet démontre que des loups se cachent dans davantage de recoins que ce qu’on imaginait…

(*)Stuxnet a fait entre-temps l’objet d’informations détaillées en différents endroits. Symantec, notamment, a publié un ‘white paper’ étoffé à son propos.

Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici

Contenu partenaire