Huit ans après sa découverte, Stuxnet est encore loin d’avoir livré tous ses secrets. Plusieurs investigations poussées permettent toutefois de retracer les grandes lignes de ce virus ultra secret, créé pour ou par les services secrets américains dans le but de ralentir le programme nucléaire iranien.
Stuxnet est découvert en juin 2010, mais des études montreront plus tard que son parcours a probablement commencé quelques années plus tôt, en 2005 ou en 2006, soit à peu près au moment où Téhéran s’est attiré les foudres d’une partie de la communauté internationale en annonçant la reprise de ses travaux autour de l’enrichissement d’uranium.
4 vulnérabilités 0-day
En règle générale, un logiciel malveillant repose sur l’exploitation d’une ou deux failles de sécurité qui ont déjà été documentées et même corrigées. Parfois, le virus exploite une vulnérabilité inédite : on parle alors de faille 0-day (zero day), dont l’exploitation à grande échelle est un événement. Stuxnet exploite quant à lui quatre vulnérabilités 0-day affectant les environnements Windows : du jamais vu, qui témoigne d’un niveau de renseignement bien supérieur à celui des cyberattaques courantes.
Au fil des analyses, le code source de Stuxnet livre petit à petit ses secrets. Au premier niveau, le logiciel est conçu pour se répliquer et peupler les machines qui habitent l’intérieur d’un réseau informatique : la mécanique virale est impressionnante d’efficacité, mais elle reste assez classique.
L’objectif ? Altérer subtilement le fonctionnement des centrifugeuses pour provoquer des casses et ralentir le programme
C’est à l’étage supérieur que les choses sérieuses commencent. Stuxnet active en effet des fonctions spécifiques s’il détecte la présence de certains logiciels sur la machine infectée. En l’occurrence, les outils informatiques développés par l’industriel allemand Siemens pour l’administration et la maintenance des centrifugeuses utilisées pour enrichir l’uranium.
S’ils sont présents, Stuxnet déclenche le dernier volet de son infection : il dissimule un rootkit au cœur du système d’exploitation, capable de modifier en toute discrétion les paramètres de ces logiciels. L’objectif ? Altérer subtilement le fonctionnement des centrifugeuses pour provoquer des casses et ralentir le programme, sans laisser imaginer qu’une attaque extérieure puisse en être la cause.
Le crime était presque parfait
Tous les adeptes de romans d’espionnage vous le diront : il suffit parfois d’un petit grain de sable pour enrayer une mécanique bien huilée. Quand on vise des infrastructures de type SCADA, généralement la plus grande difficulté consiste à s’infiltrer au sein de la cible : les ordinateurs visés sont en effet totalement isolés du monde extérieur, et protégés de tous les vecteurs habituels d’infection.
Ici, les analystes s’accordent à dire que Stuxnet a été introduit au sein de la centrale nucléaire iranienne de Natanz au moyen d’une clé USB piégée ou d’un ordinateur portable transporté par un employé. Les auteurs du virus n’avaient cependant pas prévu que l’employé en question connecterait aussi sa clé USB à un ordinateur branché à Internet, déclenchant ainsi une infection à grande échelle.
De Bush à Obama
Edward Snowden affirmera en 2013 que Stuxnet a été coécrit par la NSA américaine et les services secrets israéliens. À l’époque, la déclaration n’est assortie d’aucune preuve tangible de cette collaboration, mais il ne fait guère de doute que les États-Unis sont à la manœuvre.
Le New York Times publie le 1er juin 2012 une longue enquête qui explique comment Stuxnet s’intègre dans un programme plus large de contrôle des efforts nucléaires iraniens décidé dès 2006 par George W. Bush. Le quotidien raconte aussi comment ce dossier ultra-sensible est arrivé entre les mains de Barack Obama et comment le 44e Président des États-Unis a décidé de poursuivre l’opération alors même que le secret n’était plus garanti.
Du côté de Siemens, ses ingénieurs ont depuis fourni des outils dédiés à la désinfection des stations de travail infectées par Stuxnet. La firme rappelle aussi qu’il vaut mieux éviter de brancher une clé USB venue de l’extérieur sur une installation sensible… Comme souvent dans les affaires de cybersécurité, la principale faille de sécurité provient essentiellement de l’humain.
Image de Une : La centrale nucléaire de Frenchtown, dans le Michigan. Crédit image : Mike Boening Photography, via Flickr.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Marre des réseaux sociaux ? Rejoignez-nous sur WhatsApp !