Journal d'investigation en ligne et d'information‑hacking
par bluetouff

La NSA et l'Unité 8200 étaient à l'origine de Stuxnet

Nous avons plusieurs fois ici abordé le sujet de Stuxnet, un virus qui semblait cibler les systèmes de mesure et de controle des centrifugeuses de la centrale nucléaire de Natanz en Iran. L'objectif partiellement atteint du virus était de retarder, si ce n'est saboter le programme nucléaire iranien. Stuxnet avait agité la communauté de la sécurité car sa propagation, semble-t-il accidentelle, a donné lieu à des analyses minutieuses des plus grands experts pour en percer ses secrets.

Nous avons plusieurs fois ici abordé le sujet de Stuxnet, un virus qui semblait cibler les systèmes de mesure et de controle des centrifugeuses de la centrale nucléaire de Natanz en Iran. L'objectif partiellement atteint du virus était de retarder, si ce n'est saboter le programme nucléaire iranien. Stuxnet avait agité la communauté de la sécurité car sa propagation, semble-t-il accidentelle, a donné lieu à des analyses minutieuses des plus grands experts pour en percer ses secrets. Et côté secrets, Stuxnet n'a pas déçu. Il embarquait l'exploitation de 4 0day (4 vulnérabilités jusque là inconnues). Ce seul fait d'arme faisait de lui un virus particulièrement intrigant. Un virus qui embarque un 0 day, ça arrive, 2 c'est déjà beaucoup plus rare, 3 c'est quasiment introuvable, 4 c'était jusque là du jamais vu.

Il y a ensuite la cible, excusez du peu, une centrale nucléaire. Il y a enfin les systèmes qu'elle cible, les SCADA... et ça aussi nous vous en avons beaucoup parlé... et même encore plus. Ces systèmes contrôlent des équipements industriels. Ils ne sont à l'origine pas vraiment faits pour être connectés à Internet. La nature même des SCADA implique que les infrastructures qu'ils supervisent, en cas de dysfonctionnement ou d'actes malveillants, peuvent engager le pronostic vital de populations et la destruction matérielle de l'équipement industriel. Stuxnet visait un équipement industriel spécifique, les centrifugeuses de la centrale, en injectant un code malveillant dont la fonction était de ralentir leur vitesse de rotation.

The Bug

Dans un livre à paraitre aujourd'hui, Confront and Conceal: Obama’s Secret Wars and Surprising Use of American Power, son auteur, David Sanger, nous révèle comment est né Stuxnet, venant ainsi confirmer beaucoup de soupçons sur son origine. Ce n'est pas un mais deux États, les USA et Israel qui seraient derrière cette arme redoutable. L'auteur, visiblement renseigné par des sources solides, vient confirmer dans son ouvrage que l'histoire a rattrapé ce qui n'était pour le moment que spéculations : c'est la puissante National Security Agency américaine qui serait finalement à l'origine de Stuxnet, initialement sobrement nommé "The Bug" par ses créateurs.

Son homologue israélienne, l'Unité 8200, spécialisée dans le renseignement d'origine électromagnétique et du déchiffrement de code, aurait modifié le code original dans le dos des américains.

Nous nous étions livrés il y a plusieurs mois à un exercice, celui d'évoquer les doctrines de cyber conflits, leurs acteurs, puis de les définir et les classifier. Nous prenions comme exemple d'acte de cyber guerre le cas de Stuxnet de manière explicite, nos hypothèses étaient donc les bonnes. Mais David Sanger apporte une foule de détails. Stuxnet aurait été modifié par les israéliens, à l'insu des américains. Sa propagation accidentelle aurait inquiété le président, soucieux d'un impact sur d'autres infrastructures que la centrale de Natanz.

Codename : Olympic Games

Quand Barack Obama en 2008 succède à George W. Bush, ce dernier fait part au nouveau président d'une opération dont le nom de code est "Olympic Games". Son objectif : retarder le programme nucléaire iranien par l'inoculation d'un virus dans la centrale par l'entremise d'un agent double. L'un des grands luxes de la cyber guerre, c'est d'être en mesure de porter la guerre directement sur le terrain de l'ennemi. Les contours de la menace sont bien plus difficiles à distinguer et ceci implique une métrologie susceptible de provoquer des délais et des typologies de réponses inadaptés. La question du "qui est l'ennemi ?' est elle aussi source de préoccupation... Bref, la cyber guerre, c'est... déconcertant. Faire face est compliqué, riposter de manière proportionnée en ciblant le bon belligérant, c'est pas non plus gagné.

L'opération "Olympic Games", à l'instar de l'opération Aurora, est un modèle du genre. Une menace parfaitement ciblée sur un équipement industriel sensible, une menace silencieuse dont la médiatisation ne serait qu'un accident (le virus n'aurait jamais dû arriver sur Internet, il l'a été accidentellement, probablement propagé par le biais d'un ordinateur portable infecté relate l'ouvrage de David Sanger)... une menace cybernétique certes, mais ne nous y trompons pas, nous sommes bien en face d'un acte de cyber guerre.

Carte de la propagation de Stuxnet

Comme le souligne dans son article Ars Technica, les USA se réservent le droit d'une riposte armée en cas d'attaque de ce type sur ses propres infrastructures, et là, on est plus du tout dans le virtuel, on envoi de vrais drones bombarder de vrais gens... et ça fait des vrais morts.

"Olympic Games", qui débuta sous l'administration Bush, s'est déroulée en plusieurs étapes. La première consistait en l'inoculation d'un spyware servant à scanner et analyser la configuration du réseau et des machines de la centrale de Natanz. Une fois ces informations exfiltrées, les codeurs de la NSA ont pu développer leur code d'exploitation visant à faire tourner les centrifugeuses à uranium moins vite qu'elles ne le devraient, et ainsi en altérer significativement le fonctionnement.

L'objectif a été raisonnablement atteint, Stuxnet a bien retardé de manière significative le programme iranien. On se souviendra également de l'assassinat de plusieurs scientifiques iraniens, dont celui en charge de l'éradication du virus

Flame

Tout récemment, c'est un autre "super malware" qui a été découvert. Il se concentrerait sur les réseaux du moyen-orient. Les premières analyses font état d'un code en Lua particulièrement complexe, "ne pouvant être l’œuvre que d'une importante équipe de très haut niveau", selon les analystes de Kaspersky. Un chercheur de Symantec incriminera même directement une agence gouvernementale ou un état : "We don't normally see the highest infections in Iran, but we do in this case. Based on that, we're looking at another politically motivated attack, at stealing information, possibly written by a government or government agency."

Stuxnet reste donc la partie visible de l'iceberg. Il n'est plus aujourd'hui idiot de penser qu'une cyber guerre se déroule en ce moment même, on ne sait pas combien elle fera de cyber morts... ou de morts tout court.

 

 

0 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée