4 Votes

 

 

La  Black Hat 2010 d’Abu Dhabi, sommet mondial de la cybersécurité, réunit aujourd’hui et demain (11 novembre) les meilleurs experts mondiaux du secteur. Au menu, les dernières analyses sur les failles du monde numérique au quotidien: applications  diverses,  téléphonie mobile,  distributeurs de billets etc, et bien sûr sur toutes les lèvres: “Stuxnet” (*).   Des questions aussi simples que: “ qui a conçu le ver, à quels fins, avec qui ? ” restent en effet – théoriquement – sans réponses.

Le très sérieux expert en sécurité Dark Reading dans un pré-papier sur la Black Hat,  met à contribution Tom Parker de Securicon.  A l’inverse des démarches forensiques habituelles qui tentent d’analyser comment fonctionne le ver (ou le cheval de Troie) et comment il dérègle sa cible, Tom Parker semble avoir mis au point une méthodologie  différente pour remonter aux auteurs. Tout est dans l’écriture du code. Des corrélations sont ensuite établies avec des concepteurs potentiels.  Parker en dira plus à la Black Hat sur le fonctionnement de son outil.

Dark Reading cite un autre expert: Greg Hoglund , fondateur de HBgary et  spécialiste des empreintes dans l’écriture des codes.  Greg a mis au point un logiciel permettant de tracer les auteurs d’un code malveillant à partir d’observations récurrentes. Il a ainsi démontré l’origine de l’attaque ”Aurora” grâce à une méthodologie claire fondée sur la combinaison d’éléments multiples (qui vont de la sémantique aux structures d’algorithmes en passant par le social engineering). 

L’outil développé pour le traçage permet une visualisation des points intéressants. Greg Hoglund  établit un parallèle avec les empreintes digitales. On peut établir des corrélations mais on ne peut identifier les coupables (individus ou organisations) que grâce à des bases de données ad hoc. C’est donc ensuite aux entités gouvernementales chargées de faire respecter la loi de procéder à l’identification puis aux arrestations éventuelles.   D’après ses travaux, les cybercriminels à l’origine des gros malwares ne seraient pas des milliers mais seulement quelques centaines dans le monde.

Concernant Stuxnet, Tom Parker estime qu’il s’agit du travail d’au moins 5 personnes.  Selon lui, le logiciel malveillant a échappé au contrôle des concepteurs initiaux et s’est répandu partout dans le monde.  Il penche donc pour la vente ou la cession du petit bijou informatique, par une organisation à une autre organisation. L’utilisateur final étant moins avancé technologiquement que les auteurs du code. Première hypothèse, il s’agit d’une cession d’Etat à Etat de type marché noir. Deuxième hypothèse le ver en circulation a été  détecté par une puissance tierce qui a tenté de le détourner à son profit, mais de manière beaucoup plus maladroite que le concepteur original.  D’où la contamination générale.  En l’attente de nouveaux éléments demain à Abu Dhabi. A suivre.

 

(*) Le logiciel malveillant Stuxnet a été découvert le 17 juin 2010 par la société bioélorusse “VirusBlokAda” . Le 14 juillet 2010, l’expert allemand en reverse engineering informatique, Frank  Boldewin met pour la première fois en évidence le ciblage par le cheval de Troie de l’interface homme-machine SIMATIC WinCC de Siemens. Ce logiciel  permet de visualiser les processus automatisés de sites industriels. (La méthode de connexion, et le mot de passe utilisé, seront anonymement divulgués sur Twitter 2 jours plus tard).

 

Dominique Bourra, CEO NanoJV.

Copyrights Nanojv: http://nanojv.com 

 

“Stuxnet est un travail d’amateur !” Gadi Evron brise le mythe.

Dissection.  (Genèse de l’affaire Stuxnet).

Selon plusieurs experts israéliens, Stuxnet n’est pas un code d’origine militaire.