Une version précoce du maliciel (malware) d’attaque Stuxnet aurait été développé en 2005 déjà, selon une étude effectuée par le spécialiste de la sécurité Symantec.
La découverte du maliciel Stuxnet en 2010 provoqua pas mal d’émoi, du fait que pour la première fois, un malware se manifesta et exécuta une attaque extrêmement ciblée entraînant des dommages physiques. Stuxnet dérégla en effet les éléments de commande des centrifugeuses au gaz iraniennes d’enrichissement de l’uranium, ce qui provoqua des dégâts et réduisit la production. Très vite, l’on suggéra que Stuxnet avait lui-même été mis au point et financé par des gouvernements nationaux, et des pays comme les Etats-Unis et Israël furent pointés du doigt et ce, pour différentes raisons. En tant que malware, Stuxnet exploita plusieurs faiblesses et profita pour se propager tant de techniques d’ingénierie sociale que de mécanismes autonomes.
Stuxnet, puis d’autres maliciels d’attaque tels DuQu, Flame et Gauss, engendrèrent toutes sortes de spéculations en matière de cyber-guerre et de cyber-terrorisme, et incitèrent aussi les autorités à s’intéresser de plus près à la protection de leurs infrastructures critiques nationales.
Version précoce ‘0.5’
Lors de la Conférence RSA organisée à San Francisco, Symantec a présenté une étude, d’où il apparaît que Stuxnet a en fait été développé et testé nettement plus tôt qu’on le croyait. Symantec a trouvé et examiné une version ‘0.5’ de Stuxnet, d’où il ressort que son développement remonte à 2005 déjà. L’étude montre que Stuxnet a été initialement développé au moyen d’une autre structure (Flamer au lieu de Tilde) et probablement par une autre équipe. La contamination ne s’effectuait non plus que par des fichiers Siemens Step 7.
La principale différence résidait cependant dans le mode d’attaque même. Au lieu d’adapter la vitesse des centrifugeuses, Stuxnet 0.5 provoquait la fermeture des vannes d’une centrifugeuse, à l’exception de la valve d’admission. Il en résultait une forte hausse de la pression au sein de la centrifugeuse, ce qui en soi suffisait à perturber la production. Mais cela pouvait aussi provoquer des éclatements. L’on ne sait pas clairement si cela s’est passé, mais des indices prouvent en tout cas que Stuxnet 0.5 circulait en novembre 2007 déjà. Stuxnet 0.5 a interrompu ses infections en juillet 2009, peu après que Stuxnet 1.001 ait été compilé.
Il est manifeste cependant que Stuxnet est l’exemple même d’un projet de développement à la fois long et extrêmement ciblé résultat de solides investissements en expertise et en moyens, des aspects qui dépassent clairement la recherche du gain rapide des cybercriminels ‘ordinaires’. La découverte d’une version 0.5 et l’évolution subie par Stuxnet le soulignent une fois de plus. L’étude initiale de Symantec sur Stuxnet, vous la découvrirez ici.
