3 Votes

 


L

 

Les Américains donnent une fois de plus une  leçon de pragmatisme et d’efficacité aux européens. Loin des fantasmes et des théories fumeuses, le Sénat a organisé la semaine dernière une audition concernant les menaces soulevées par le  ver Stuxnet.

Alors qu’en Europe il est de  bon ton de renvoyer d’un sourire entendu (cliquer ici), Stuxnet à un cyber règlement de compte entre Israël et l’Iran (une affaire  exotique en somme) les américains saisissent la portée du coup de semonce et en tirent les conséquences pour leurs propres infrastructures.  

Les enseignements de l’audition sont nombreux (cliquer ici).   En substance, ceux qui pensent que les risques induits par l’affaire Stuxnet sont  surévalués se trompent. Ce cas souligne en effet avec une grande acuité la menace cybernétique qui pèse sur les Etats-Unis et le reste du monde . 

Stuxnet surclasse les logiciels malveillants connus, à la fois par sa sophistication et son potentiel destructeur. La menace plane désormais sur le pilotage de nombreux systèmes industriels sensibles tels que : les réseaux électriques, le traitement des eaux, les centrales  nucléaires, les usines chimiques, les pipelines, les réseaux de communications et de transports, les sites de productions industrielles…

Pour bien marquer les esprits l’un des intervenants  cite l’exemple du système de contrôle d’un pipeline infecté par un cheval de Troie provoquant en guise de sabotage, une surpression énorme.  Résultat:   une explosion de  3 kilotonnes soit un cinquième de la puissance de la bombe d’Hiroshima.

Il est également rappelé que Stuxnet constitue une double menace. Tout d’abord il permet de voler des secrets industriels (cliquer ici). Et ensuite, encore plus grave, il peut prendre le contrôle de processus industriels, les modifier et les saboter.  Il peut par exemple faire s’ouvrir ou se refermer une valve sensible (un exemple parmi une multitude) dans une usine sans que les opérateurs ne détectent ce dysfonctionnement fortuit sur leurs écrans de contrôles. Stuxnet peut effectuer un sabotage sans déclencher aucune alerte…

Il a probablement fallu 10 000 heures-hommes pour écrire Stuxnet en un bloc. Un travail effectué par des spécialistes des systèmes d’exploitation Microsoft et par des experts en systèmes de contrôles industriels complexes. Stuxnet comporte 4000 fonctions différentes qui n’ont à ce jour pas toutes été analysées (pour la comparaison, un serveur  d’emails comporte en moyenne 2000 fonctions).  Le ver utilise des vulnérabilités de Microsoft Windows inconnues auparavant: les vulnérabilités “zero-day”.   Ces vulnérabilités sont difficiles à découvrir et possèdent une valeur élevée au marché noir. L’utilisation de 4 d’entre elles par Stuxnet est sans précédent.   Sa fonction d’actualisation  automatique est également surprenante etc…

A supposer qu’un tel outil tombe entre les mains d’une puissance hostile, les dégâts potentiels seraient donc  illimités. Avant Stuxnet ces scénarios relevaient de la science fiction et des romans d’espionnage. Aujourd’hui la situation est différente.  On ne parle plus simplement de cyber-crime ou de cyber-espionnage comme  lors de précédentes auditions du Sénat américain…Il ne s’agit plus cette fois de petits dénis de service, ou de simples attaques de phishing pour pirater des comptes bancaires ou voler des secrets industriels. Tout cela c’était avant l’ère Stuxnet. Hier on ne parlait que d’arquebuses et de tromblons. Aujourd’hui il est question de mitrailleuses lourdes. 

 Il n’en reste pas moins que l’on ne sait pas  qui a créé Stuxnet et à quelles fins. Jusqu’à présent, Stuxnet n’a pas provoqué de dommages identifiés. Cela ne signifie pas qu’il n’en causera pas à l’avenir.  Il est possible qu’il soit à l’affut de sa cible finale ; il est possible qu’il l’ait déjà trouvée (cliquer ici) ; enfin il se peut qu’il attende  une combinaison précise de signaux pour déployer toute sa puissance de destruction.  

A noter que le ver peut potentiellement viser une gamme très large d’applications industrielles: de l’assemblage automobile, aux usines chimiques en passant par la production d’aliments pour bébé…Une large gamme d’activités sensibles auraient donc pu se trouver à la merci de Stuxnet (cliquer ici). Ou de ses successeurs…

Il est en effet possible que Stuxnet, comme l’ont déjà souligné certains experts,  ne soit qu’un premier jet, un prototype, avant la création d’un logiciel beaucoup plus destructeur  (cliquer ici).

Au cours de l’audition, le déploiement de divers dispositifs de cyberprotection et  de contre-attaques ont été listés.  Le Département de la sécurité intérieure US annonce ainsi la mise en place du système “Einstein 3.0” (cliquer ici) de contre attaque cybernétique et de protection des infrastructures fédérales. La  finalisation du  “National Cyber Incident Response Plan” (NCIRP)  a également été évoquée.  Tout comme la poursuite de la sécurisation des systèmes  de pilotage des infrastructures critiques américaines, ce qui inclut les fameux SCADA visés par Stuxnet.

En conclusion le patron du réseau d’intelligence globale de Symantec (leader mondial de la sécurité de l’information)  a rappelé que la cible de Stuxnet était toujours inconnue. Que toutes les hypothèses soulevées jusqu’à présent n’étaient que des spéculations.  Que le nombre élevé d’ordinateurs infectés en Iran n’en faisait pas forcément la cible du ver. Que l’on ne sait pas qui est derrière l’attaque ni qui a pu écrire le code.

Le mystère reste donc entier et Ralph Langner, l’expert allemand qui le premier a créé le buzz en désignant Israël comme le suspect idéal, écume sur son blog. Selon lui les infos du Département de la sécurité Intérieure US sur Stuxnet se résument à “Zero. Nada. Niente. Nothing”. Il est vrai le très sérieux Département de la Sécurité Intérieure n’a pas l’imagination de Ralph.  L’Amérique manque décidément de fantaisie.

 

Dominique Bourra, CEO NanoJV.

 Copyrights Nanojv: http://nanojv.com 

 

QUI A CREE STUXNET ? LA BLACK HAT D’ABU DAHBI SORTIRA-T-ELLE LES AUTEURS DU CHAPEAU?   (cliquer ici)

 

LE NOUVEAU SURNOM DU CANARD ? “FARCES NEWS !”   (cliquer ici)

 

 P’SHAT, REMEZ, DRASH ET SOD.  (cliquer ici)

 

DISSECTION.(cliquer ici)