Par exemple l'expert en sécurité interrogé nous apprenait qu'il s'agissait d'une "attaque dite «zero day», autrement dit en temps réel, visant des systèmes pas encore assez protégés pour y faire face". Bon, la définition de "zero day" c'est plutôt : "utilisant une faille jusqu'alors inconnue, tout juste découverte, éventuellement tenue secrète par les attaquants", mais passons.
Le monsieur nous dit aussi que stuxnet est "un ver qui débarque sur une machine, ici les PC portables des techniciens, via une simple clé USB. Le ver se connecte ensuite aux systèmes Scada (système de contrôle des installations industrielles), qui sont à boucles fermées pour éviter toute intervention humaine." Le vecteur de l'infection est donc une clé USB. Par contre il nous dit aussi que : "Contrôlé à distance, le ver peut également bouleverser les configurations des systèmes Scada, ou encore les instructions habituellement entrées par les ingénieurs". Donc là on ne comprends plus très bien, si stuxnet est "contrôlé à distance" c'est aussi grâce aux clés usb ?
Pas grand chose de technique donc, ce qui est quand même embêtant vu qu'il s'agit d'un " niveau de cyberterrorisme qui dépasse de loin ce qu’on a pu connaître par le passé "
Alors je suis pas spécialement compétent en virus mais comme c'est intéressant j'ai lu quelques articles sur le sujet et voila ce que j'ai retenu.
Le fonctionnement des centrifugeuses utilisées dans l'infrastructure nucléaire est contrôlé par ce qu'on appelle en anglais des PLC, (Programmable Logic Controller, en français Automate Programmable Industriel). Il s'agit de petits ordinateurs contenant des capteurs, utilisés dans l'industrie, capables de modifier des paramètres de fonctionnement, en fonction de ce qui est mesuré, par exemple dans une usine de pizza : "mesure de la consistance de la pâte par un capteur optique : pâte trop mole ? Action : augmenter la température du four ! "
Le terme SCADA (supervisory control and data acquisition) désigne l'ensemble du système de programmation et de surveillance de ces PLC.
Ces PLC sont complexes à programmer et il faut adapter leur fonctionnement à chaque tache. Les PLC en cause en Iran sont fabriqués par Siemens et le logiciel utilisé pour les programmer est Simatic Step7. Le ver stuxnet s'attaque à ce logiciel, qui tourne sous windows : de ce point de vue, il s'agit donc à la base d'une infection classique, un ordinateur sous windows est infecté par le ver, le ver découvre que c'est un ordinateur sur lequel Simatic Step7 est installé, et lors de la prochaine utilisation de Simatic Step7, le ver se propage vers les PLC que l'utilisateur voulait programmer. Ces mêmes PLC qui contrôlent le fonctionnement de la centrale, donc !
Une description de stuxnet dans un commentaire slashdot (nettement plus sur que libé, donc) :
Je peux vous dire que ce ver n'a pas été écrit par une seule personne. C'est le malware le plus complexe qu'il m'ait été donné de voir. Il est écrit en 3 langages (C, C++ du coté Windows et assembleur MC7 du coté PLC), utilise 4 failles Windows différentes et 2 certificats de signature du code volés à des compagnies taiwanaises (et qui étaient lus comme valides jusqu'à encore récemment) et possède un des rootkit les plus agressif que j'ai jamais vu. Et je ne parle même pas de la façon dont il se met a jour lui même
Ces modèles de PLC ont un bloc de code à l'adresse 0B 35 qui s’exécute automatiquement toutes les 100 millisecondes. Stuxnet cache son propre code au début de ce bloc (tout en permettant au code original de s’exécuter après lui). Cela permet de garder les fonctions originales du PLC, tout en s’exécutant en tache de fond.
Tout cela est plutôt validé par un article détaillé sur le fonctionnement de stuxnet publié par symantec. On apprends par exemple que le ver pose sa propre version d'une dll sur le poste windows infecté : original ... D’après Symantec, le ver cible des versions particulières de PLC, celles équipées des processeurs 6ES7-417 et 6ES7-315-2 et répondant en plus à d'autres critères, ce qui lui permettrait de cibler spécifiquement l'Iran.
Une des faille Windows utilisées pour infecter le poste client est celle ci et date du 16 juillet 2010. Et le patch de sécurité sorti le 2 aout 2010 est celui là.
Une autre faille exploitée par stuxnet a elle été patchée le 14 septembre.
Il s'agit bien d'une faille ciblant les raccourcis, et Microsoft parle bien de clé usb (mais il me semble que ca pourrait être n'importe quoi d'autre, un cd, une disquette, un raccourci déposé sur un partage réseau):
Ce qui est unique avec stuxnet c'est qu'il utilise une nouvelle méthode de propagation. Plus précisément il exploite des fichiers de raccourcis (aussi connus sous le nom fichiers .lnk) spécialement conçus, qui sont placés sur une clé usb et déclenchent le malware des qu'ils sont lus par le système d'exploitation. En d'autres termes il suffit de parcourir le contenu du média amovible avec une application affichant les raccourcis (comme l'explorateur Windows) pour exécuter le malware sans aucune autre interaction de l'utilisateur
Et en effet il y a bien des certificats qui ont été révoqués :
Ces drivers [binaires utilisés pour l'infection] sont signés avec un certificat digital appartenant à un fabriquant de matériel bien connu, Realtek Semiconductor Corp., ce qui est inhabituel dans la mesure où cela impliquerait que les auteurs du malware ait eu accès à la clé privée de Realtek.
D’après Cisco, un certificat appartenant à JMicron Technologies a également été utilisé.
Donc là, franchement, c'est de la pure spéculation. A part Israel et les USA, les gens évoquent "les iraniens eux mêmes" (niveau d’éducation élevé en Iran et agent de l’intérieur) ou les pays arabes (l'Iran est devenu trop importante après l'invasion de l'Irak). Coté risques, ça à l'air assez balaise, une sorte de précédent historique est cité, l'explosion d'un pipeline en Sibérie en 1982, mais la véracité n'est pas établie.
0 commentaires:
Enregistrer un commentaire