La NSA et l’Unité 8200 étaient à l’origine de Stuxnet

Nous avons plusieurs fois ici abordé le sujet de Stuxnet, un virus qui semblait cibler les systèmes de mesure et de controle des centrifugeuses de la centrale nucléaire de Natanz en Iran. L’objectif partiellement atteint du virus était de retarder, si ce n’est saboter le programme nucléaire iranien. Stuxnet avait agité la communauté de la sécurité car sa propagation, semble-t-il accidentelle, a donné lieu à des analyses minutieuses des plus grands experts pour en percer ses secrets. Et côté secrets, Stuxnet n’a pas déçu. Il embarquait l’exploitation de 4 0day (4 vulnérabilités jusque là inconnues). Ce seul fait d’arme faisait de lui un virus particulièrement intrigant. Un virus qui embarque un 0 day, ça arrive, 2 c’est déjà beaucoup plus rare, 3 c’est quasiment introuvable, 4 c’était jusque là du jamais vu.

Il y a ensuite la cible, excusez du peu, une centrale nucléaire. Il y a enfin les systèmes qu’elle cible, les SCADA… et ça aussi nous vous en avons beaucoup parlé… et même encore plus. Ces systèmes contrôlent des équipements industriels. Ils ne sont à l’origine pas vraiment faits pour être connectés à Internet. La nature même des SCADA implique que les infrastructures qu’ils supervisent, en cas de dysfonctionnement ou d’actes malveillants, peuvent engager le pronostic vital de populations et la destruction matérielle de l’équipement industriel. Stuxnet visait un équipement industriel spécifique, les centrifugeuses de la centrale, en injectant un code malveillant dont la fonction était de ralentir leur vitesse de rotation.

The Bug

Dans un livre à paraitre aujourd’hui, Confront and Conceal: Obama’s Secret Wars and Surprising Use of American Power, son auteur, David Sanger, nous révèle comment est né Stuxnet, venant ainsi confirmer beaucoup de soupçons sur son origine. Ce n’est pas un mais deux États, les USA et Israel qui seraient derrière cette arme redoutable. L’auteur, visiblement renseigné par des sources solides, vient confirmer dans son ouvrage que l’histoire a rattrapé ce qui n’était pour le moment que spéculations : c’est la puissante National Security Agency américaine qui serait finalement à l’origine de Stuxnet, initialement sobrement nommé « The Bug » par ses créateurs.

Son homologue israélienne, l’Unité 8200, spécialisée dans le renseignement d’origine électromagnétique et du déchiffrement de code, aurait modifié le code original dans le dos des américains.

Nous nous étions livrés il y a plusieurs mois à un exercice, celui d’évoquer les doctrines de cyber conflits, leurs acteurs, puis de les définir et les classifier. Nous prenions comme exemple d’acte de cyber guerre le cas de Stuxnet de manière explicite, nos hypothèses étaient donc les bonnes. Mais David Sanger apporte une foule de détails. Stuxnet aurait été modifié par les israéliens, à l’insu des américains. Sa propagation accidentelle aurait inquiété le président, soucieux d’un impact sur d’autres infrastructures que la centrale de Natanz.

Codename : Olympic Games

Quand Barack Obama en 2008 succède à George W. Bush, ce dernier fait part au nouveau président d’une opération dont le nom de code est « Olympic Games ». Son objectif : retarder le programme nucléaire iranien par l’inoculation d’un virus dans la centrale par l’entremise d’un agent double. L’un des grands luxes de la cyber guerre, c’est d’être en mesure de porter la guerre directement sur le terrain de l’ennemi. Les contours de la menace sont bien plus difficiles à distinguer et ceci implique une métrologie susceptible de provoquer des délais et des typologies de réponses inadaptés. La question du « qui est l’ennemi ?’ est elle aussi source de préoccupation… Bref, la cyber guerre, c’est… déconcertant. Faire face est compliqué, riposter de manière proportionnée en ciblant le bon belligérant, c’est pas non plus gagné.

L’opération « Olympic Games », à l’instar de l’opération Aurora, est un modèle du genre. Une menace parfaitement ciblée sur un équipement industriel sensible, une menace silencieuse dont la médiatisation ne serait qu’un accident (le virus n’aurait jamais dû arriver sur Internet, il l’a été accidentellement, probablement propagé par le biais d’un ordinateur portable infecté relate l’ouvrage de David Sanger)… une menace cybernétique certes, mais ne nous y trompons pas, nous sommes bien en face d’un acte de cyber guerre.

Carte de la propagation de StuxnetCarte de la propagation de Stuxnet

Comme le souligne dans son article Ars Technica, les USA se réservent le droit d’une riposte armée en cas d’attaque de ce type sur ses propres infrastructures, et là, on est plus du tout dans le virtuel, on envoi de vrais drones bombarder de vrais gens… et ça fait des vrais morts.

« Olympic Games », qui débuta sous l’administration Bush, s’est déroulée en plusieurs étapes. La première consistait en l’inoculation d’un spyware servant à scanner et analyser la configuration du réseau et des machines de la centrale de Natanz. Une fois ces informations exfiltrées, les codeurs de la NSA ont pu développer leur code d’exploitation visant à faire tourner les centrifugeuses à uranium moins vite qu’elles ne le devraient, et ainsi en altérer significativement le fonctionnement.

L’objectif a été raisonnablement atteint, Stuxnet a bien retardé de manière significative le programme iranien. On se souviendra également de l’assassinat de plusieurs scientifiques iraniens, dont celui en charge de l’éradication du virus

Flame

Tout récemment, c’est un autre « super malware » qui a été découvert. Il se concentrerait sur les réseaux du moyen-orient. Les premières analyses font état d’un code en Lua particulièrement complexe, « ne pouvant être l’œuvre que d’une importante équipe de très haut niveau« , selon les analystes de Kaspersky. Un chercheur de Symantec incriminera même directement une agence gouvernementale ou un état : « We don’t normally see the highest infections in Iran, but we do in this case. Based on that, we’re looking at another politically motivated attack, at stealing information, possibly written by a government or government agency. »

Stuxnet reste donc la partie visible de l’iceberg. Il n’est plus aujourd’hui idiot de penser qu’une cyber guerre se déroule en ce moment même, on ne sait pas combien elle fera de cyber morts… ou de morts tout court.

 

 

Twitter Facebook Google Plus email

28 thoughts on “La NSA et l’Unité 8200 étaient à l’origine de Stuxnet”

  1. « On se souviendra également de l’assassinat de plusieurs scientifiques iraniens, dont celui en charge de l’éradication du virus ». Vous avez la source de ça ?

    Si vous parlez de Majid Shahriari, il n’était pas responsable de la lutte anti-Stuxnet mais simplement un physicien du programme nucléaire (militaire?) iranien.

  2. Bref, reste plus qu’a trouver les codeurs de flame… Et meme si je suis tenter de pointer dans la meme direction, je ne serai pas non plus etonne que l’on se retourne vers la chine ou la russie (voir les 2).
    La cyber guerre est bel et bien declare, et elle n’est pas froide…

    1. Pourquoi d’autres pays (comprendre « les Occidentaux ») auraient le droit d’avoir des centrales et d’enrichir l’uranium, et pas l’Iran ?

      C’est tout le nucléaire, au moins militaire, qu’il faut stopper.

    2. Legitimer un acte de guerre, c’est plutot difficile, surtout sans declaration prealable. La on est plutot dans l’ingerence (14 points de Wilson toussa). La seul chose legitime a l’heure actuelle, ca serait qu’en reponse, l’Iran declare la guerre a Israel et aux US…
      Bref, ils ont peut etre fortement retarde le programme nucleaire, mais renforce la determination, je doute que ce soit une operation gagnante au final.

  3. Comment se sont-ils rendu compte de l’injection de Stuxnet dans leurs infrastructures ?

    Concernant Flame, ce serait peut-être un coup de buzz pour permettre aux éditeurs d’antivirus d’augmenter leurs chiffres : http://www.atlantico.fr/decryptage/virus-flame-kaspersky-peurs-occuper-terrain-mediatique-eric-filiol-375415.html
    http://owni.fr/2012/06/04/le-marketing-declare-sa-flame/

    [liens trouvés via http://www.sebsauvage.net]

    Ce siècle promet au niveau du numérique… ça sent la 3ème guerre mondiale façon 2.0, avec comme vous dites, aussi de vrais morts (déjà les scientifiques iraniens…).

    1. Atlantico… Je ne vais pas revenir sur la qualite de l’analyse, Owni le fait deja tres bien. En effet, les editeurs en font peut etre un peu trop, reste que flame existe et attaque. Le reste n’est que litterature.

    1. Oh bah oui, c’est vrai, faire péter une centrale nucléaire en jouant avec les centrifugeuses, c’est une idée de génie !
      Créer ce genre de soft et en perdre le contrôle pour le retrouver sur d’autres systèmes industriels, c’est une idée de génie !
      Un acte de cyber guerre, ça aussi c’est une idée de génie !
      C’est dingue ce que l’homme peut être imaginatif et montrer un tel génie pour s’atteler à être aussi con… c’est bien que tu le soulignes.
      Merci pour ton commentaire, qui il est vrai, est lui aussi, emprunt d’un certain génie.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *