Stuxnet : zoom sur la « cyber-arme » et comment s'en protéger

Stuxnet : zoom sur la « cyber-arme » et comment s'en protéger

Adriana L.
Calendar picto
21/11/2022
Clock picto
7 min

Stuxnet est le premier malware ayant causé des destructions physiques dans le monde réel. Ce virus fut développé par les services secrets d'Israël et des États-Unis, dans le but de faire échouer le programme nucléaire de l'Iran. Découvrez tout ce que vous devez savoir sur ce maliciel qui a marqué l'histoire de la cybersécurité...

Les cyberattaques et les virus ne se limitent pas toujours à la sphère numérique, et peuvent aussi avoir un impact dans le monde réel. En 2010, les experts en cybersécurité l'ont appris avec l'émergence de Stuxnet.

Ce malware d'un genre nouveau, extrêmement sophistiqué, était capable de causer des destructions physiques. Découvrez tout ce que vous devez savoir sur le ver informatique qui a fait dérailler le programme nucléaire iranien.

Qu'est-ce que Stuxnet ?

Stuxnet est un puissant ver informatique conçu par les services de renseignements des États-Unis et d'Israël. Le but était de neutraliser une partie essentielle du programme nucléaire iranien.

Il fut déployé contre un complexe isolé, mais s'est propagé à des systèmes informatiques extérieurs de façon inattendue. Une vive controverse s'en est suivie.

Ce malware exploitait de multiples failles zero days de Windows, inconnues auparavant. On peut en conclure que Stuxnet faisait partie d'une vaste opération de sabotage de haut niveau menée par des gouvernements contre leurs adversaires.

Un ver informatique est un type de malware capable de s'activer sans interaction humaine, et de se propager de manière autonome. En plus de supprimer les données, un « worm » peut surcharger le réseau, consommer la bande passante, ouvrir une porte dérobée, réduire l'espace sur le disque dur, ou déployer d'autres malwares comme des rootkits, des spywares ou des ransomwares.

Qui a créé Stuxnet ?

Désormais, il est communément accepté que Stuxnet fut créé par la NSA, la CIA, et les services de renseignement d'Israël. Ce malware fut identifié pour la première fois par la communauté de la cybersécurité en 2010, mais son développement commença probablement en 2005.

Les gouvernements des États-Unis et d'Israël ont conçu Stuxnet comme un outil visant à faire échouer le programme de développement d'armes nucléaires de l'Iran, ou tout du moins le retarder.

Les administrations de Bush, puis d'Obama, étaient convaincues que si l'Iran développait des armes atomiques, Israël lancerait des frappes aériennes contre ses installations nucléaires et provoquerait une guerre dans toute la région.

L'opération « Olympic Games » était pensée comme une alternative non-violente. Vers la fin du mandat de Bush, une réunion fut organisée dans la Situation Room de la Maison-Blanche.

Les morceaux d'une centrifugeuse de test détruite furent présentés sur la table de conférence, et les États-Unis décidèrent qu'il était temps de déployer le malware.

Officiellement, aucun gouvernement n'a reconnu officiellement le développement de Stuxnet. Toutefois, dans une vidéo parue en 2011 pour célébrer le départ en retraite du chef des Forces de Défense d'Israël, Gabi Ashkenazi, ce malware était présenté comme l'un de ses succès...

Les ingénieurs derrière Stuxnet n'ont pas été identifiés. On sait toutefois qu'ils étaient nombreux, et hautement qualifiés. Selon les experts de Kaspersky Lab, une équipe de dix codeurs aurait eu besoin de deux à trois ans de travail pour créer ce ver.

Les chercheurs en sécurité n'ont jamais pu accéder à la base de code de Stuxnet, mais ont pu découvrir ses secrets en l'analysant. Ils ont notamment compris qu'il est écrit dans plusieurs langages, dont C, C++, et plusieurs langages orientés objet. C'est l'une des preuves de la sophistication de ce maliciel.

Par la suite, plusieurs autres worms dotés des mêmes capacités d'infection que Stuxnet ont été identifiés. On peut citer par exemple Duqu et Flame. Cette similitude laisse penser que ces malwares ont été créés par la même équipe, qui continuerait donc à travailler secrètement.

 

À quoi servait Stuxnet ?

Stuxnet fut initialement conçu pour détruire les centrifugeuses utilisées par l'Iran pour enrichir l'uranium dans le cadre de son programme nucléaire.

Pour rappel, les centrifugeuses sont utilisées pour faire tourner l'uranium suffisamment vite pour séparer ses différents isotopes grâce à la force centrifuge. Le but est d'isoler l'isotope U-235 de l'isotope U-238 plus lourd que l'on trouve dans la nature, afin de fabriquer le matériau fissile utilisé pour les centrales et les armes nucléaires.

Ces centrifugeuses sont des équipements très fragiles, fréquemment endommagés pendant les opérations. C'est précisément ce point faible que Stuxnet exploite.

Quand le malware infecte un ordinateur, il vérifie s'il est connecté à des modèles spécifiques de contrôleurs logiques programmables (PLC) fabriqués par Siemens. Les PLC permettent aux ordinateurs d'interagir avec les machines industrielles telles que les centrifugeuses d'uranium.

Si aucun PLC n'est détecté, le worm ne fait rien. En revanche, si le logiciel PLC Step 7 de Siemens est détecté, Stuxnet altère sa programmation pour forcer la centrifugeuse à tourner de façon irrégulière dans le but de l'abimer ou de la détruire.

Pendant ce temps, le PLC piraté laisse croire à l'ordinateur de contrôle que tout fonctionne correctement. C'est ce qui rend très difficile la détection ou le diagnostic d'anomalie avant qu'il ne soit trop tard.

Comment fonctionnait Stuxnet ?

Afin d'infecter les PC Windows du complexe Natanz, Stuxnet exploitait quatre bugs zero-day de Windows : une faille dans le raccourci Windows, un bug dans le spouleur d'impression, et deux vulnérabilités d'escalade de privilège.

Le malware exploitait aussi une faille zero-day dans le PLC Siemens, et une vieille faille déjà utilisée par la cyberattaque Conficker. Ce nombre élevé de vulnérabilités exploitées est inhabituel, car les hackers évitent habituellement de révéler plusieurs failles d'un coup pour qu'elles ne soient pas patchées.

Le ver Stuxnet s'attaque à toutes les couches de l'infrastructure ciblée. Il impacte Windows, le logiciel Siemens de contrôle des PLC, et le logiciel intégré aux PLC.

Ce virus est conçu pour être livré par le biais d'un lecteur amovible tel qu'une clé USB. En effet, le complexe Natanz où prenait place l'enrichissement d'uranium iranien était connu pour être « air-gapped » : ses systèmes informatiques étaient déconnectés d'internet. Pour contourner cette sécurité, Stuxnet était créé pour se propager rapidement d'une machine à l'autre sur le réseau local.

Ce maliciel était doté de capacités rootkit en mode utilisateur ou en mode kernel. Pour installer le rootkit kernel-mode, il utilisait des pilotes d'appareil signés numériquement et utilisant des certificats de clé privés volés auprès de deux fabricants taïwanais renommés.

Dès qu'il prend le contrôle du PLC, Stuxnet provoque une variation de la vitesse de rotation des centrifugeuses. Ceci les endommage, et les rend rapidement inutilisables.

La cyberattaque de Stuxnet contre l'Iran

Le virus Stuxnet a atteint son objectif de perturber le programme nucléaire iranien. Selon les analystes, cette cyberattaque a retardé le programme d'au moins deux ans.

Les premiers tiers à remarquer les effets du ver furent les inspecteurs de l'International Atomic Energy Agency (IAEA) autorisés à accéder au complexe Natanz. L'une de leurs missions était d'inspecter les centrifugeuses endommagées retirées de l'installation, pour s'assurer qu'elles ne soient pas utilisées pour transférer de l'uranium vers d'autres usines à l'insu de la communauté internationale.

Il est fréquent que les centrifugeuses s'abîment pendant le processus d'enrichissement, et le retrait d'environ 800 machines en un an ne serait pas surprenant pour un complexe de cette envergure. Toutefois, en 2010, l'IAEA a dénombré plus de 2000 centrifugeuses inexploitables. À l'époque, personne n'imaginait qu'un malware était la cause de cette destruction.

Comment fut découvert Stuxnet ?

Stuxnet fut découvert à cause de son comportement inattendu. Malgré l'isolation du complexe Natanz, le malware est parvenu à se propager en dehors de l'installation.

On ignore comment le ver est parvenu à s'échapper. Beaucoup d'Américains pensent que cette propagation résulte de modifications du code apportées par les Israéliens. Alors Vice-Président, Joe Biden aurait été très en colère à ce sujet.

Autre explication possible : les mauvaises pratiques de sécurité des Iraniens. Un employé du complexe Natanz a par exemple pu ramener son PC portable chez lui et se connecter à internet, permettant à Stuxnet de se propager à d'autres machines.

Peu après, les chercheurs en sécurité ont découvert ce malware suite à un appel téléphonique. Une entreprise iranienne, sans lien avec le programme nucléaire, observait d'étranges redémarrages et des « écrans bleus de la mort » sur ses ordinateurs. Même les nouveaux appareils semblaient affectés.

L'expert en cybersécurité de l'entreprise, incapable de comprendre la cause du problème, décida d'appeler son ami biélorusse dénommé Sergey Ulasen travaillant pour VirusBlokAda. Ce dernier était invité à un mariage au moment de l'appel, mais passe la soirée au téléphone avec son ami iranien pour tenter d'élucider le mystère.

Avec son équipe, l'expert biélorusse parvient à isoler le malware. Il réalisa alors le nombre impressionnant de failles zero-days exploitées, et comprit qu'il avait affaire à un malware extrêmement sophistiqué. Dès lors, il décida de partage sa découverte avec la communauté mondiale de la cybersécurité.

Le directeur du groupe des technologies de sécurité de Symantec, Liam O'Murchu, qui faisait partie de l'équipe ayant découvert Stuxnet, affirme qu'il s'agissait « de loin du morceau de code le plus complexe que nous ayons observé, dans une ligue totalement différente que tout ce que nous avons vu avant ».

Selon lui, même si de nombreux sites web prétendent proposer le code de Stuxnet au téléchargement, il s'agit de pâles copies. Le véritable code source écrit par les services secrets américains et israéliens, n'a jamais été dévoilé et ne peut être extrait des binaires circulant dans la nature.

Même si le code de l'un des pilotes a été reconstruit via l'ingénierie inversée, il ne s'agit que d'une part infime du package. Le code originel reste inaccessible.

Néanmoins, l'observation des binaires en action permet de comprendre beaucoup de choses sur ce code. Par exemple, dès la première analyse, les chercheurs ont compris que le virus recherchait des équipements Siemens.

Après trois à six mois d'ingénierie inversée, les experts ont pu déterminer environ 99% de ce qui se passe dans le code selon O'Murchu. L'analyse du code a également permis de comprendre le but de ce malware.

En effet, le code indique qu'il cherche huit à dix tableaux de 168 convertisseurs de fréquence chacun. Or, c'est exactement la façon dont les centrifugeuses doivent être disposées dans un complexe d'enrichissement d'uranium selon la documentation de l'International Atomic Energy Association.

Les chercheurs ont compris qu'ils avaient découvert une vaste opération d'espionnage international, et la peur a soudainement pris le pas sur l'excitation. Les informations furent publiées par Symantec en septembre 2010, et les inspecteurs de l'IAEA comprirent enfin le nombre anormalement élevé de centrifugeuses détruites au complexe Natanz.

 

Les descendants de Stuxnet

Stuxnet n'a pas disparu, mais ne représente plus de menace majeure pour la cybersécurité. En réalité, même si ce dangereux malware a fait couler beaucoup d'encre, il n'a jamais représenté de réel danger hormis pour le complexe Natanz.

Même si votre ordinateur est infecté par Stuxnet, vous ne risquez qu'un redémarrage et un écran bleu de la mort si la machine n'est pas connectée à une centrifugeuse d'enrichissement d'uranium.

Selon les rumeurs, les créateurs de Stuxnet l'ont même programmé pour qu'il expire en juin 2012. De plus, Siemens a publié des correctifs pour son logiciel PLC.

Néanmoins, il existe plusieurs descendants de Stuxnet pouvant présenter un danger. Plusieurs familles de malwares semblent dérivées de ce ver, et pourraient bien être créées par les mêmes services de renseignement.

Il est également possible que ces variantes soient créées par des hackers indépendants, parvenus à finaliser l'ingénierie inversée de Stuxnet. Plus de dix ans après son apparition, les chercheurs continuent d'étudier ce virus pour découvrir de nouvelles techniques d'attaque.

Apparu en 2011, Duqu est basé sur le code Stuxnet et conçu pour espionner les frappes de touches de clavier et capturer les données de complexes industriels. Le but était probablement de lancer des attaques ultérieurement.

En 2012, le malware Flame est apparu. Comme Stuxnet, ce spyware se propage via clé USB. Il est capable d'enregistrer les conversations sur Skype, d'enregistrer les frappes de clavier, ou même de prendre des captures d'écran. Ce virus a ciblé des organisations gouvernementales et des établissements scolaires, mais aussi des individus principalement basés en Iran et dans les pays du Moyen-Orient.

Le malware Havex, apparu en 2013, vise à agréger les données d'entreprises des secteurs de l'énergie, de l'aérien, de la défense et de l'industrie pharmaceutique. Il a principalement ciblé des organisations américaines, canadiennes et européennes.

Quelques années plus tard, en 2016, Industroyer a commencé à prendre pour cible des infrastructures d'énergie. Ce malware aurait notamment causé une panne d'électricité en Ukraine en décembre 2016.

En 2017, Triton s'en est pris aux systèmes de sécurité d'une usine pétrochimique basée au Moyen-Orient. Ses créateurs sont soupçonnés d'avoir voulu blesser physiquement les ouvriers.

Plus récemment, en octobre 2018, un virus sans nom doté des mêmes caractéristiques que Stuxnet s'est attaqué à une infrastructure réseau non précisée en Iran.

Comment se protéger contre Stuxnet ?

Même si Stuxnet ne représente pas de réel danger, mieux vaut éviter que vos systèmes soient infectés par un puissant malware développé par les services secrets des États-Unis et d'Israël.

Fort heureusement, les vulnérabilités zero-day initialement exploitées par Stuxnet ont été patchées depuis bien longtemps. Vous ne risquez rien, à condition de respecter les bonnes pratiques basiques de cyber-hygiène telles que la mise à jour de l'OS et du logiciel de sécurité.

En revanche, Stuxnet met en péril les systèmes informatiques de l'industrie de l'énergie, le réseau électrique ou même le secteur de la défense. Les infrastructures sont directement menacées.

Ces entreprises doivent systématiquement scanner les clés USB pour détecter les virus, et utiliser des logiciels de sécurité pour intercepter les malwares avant qu'ils se propagent sur les réseaux.

En outre, les réseaux informatiques industriels doivent être séparés des réseaux d'entreprise classiques à l'aide de firewalls et de zones démilitarisées. Les machines automatisant les processus industriels doivent être surveillées de près, et un système de liste blanche d'applications doit être mis en place.

Toutes les activités sur le réseau doivent être surveillées, et des mesures de sécurité physiques doivent protéger l'accès. Il peut notamment s'agir de lecteurs de cartes et de caméras de surveillance.

Enfin, les organisations doivent concevoir un plan de réponse aux incidents afin de pouvoir réagir promptement en cas de cyberattaque. La formation des employés par le biais d'événements de simulation et la création d'une culture de sécurité au sein de l'entreprise sont essentielles.

Comment suivre une formation de cybersécurité ?

Stuxnet a marqué l'histoire en tant que premier malware utilisé dans le cadre d'un conflit international. Auparavant, cette idée relevait de la science-fiction dystopique.

Désormais, les cyberattaques font partie intégrante de l'arsenal de guerre. Elles sont fréquemment employées pour déstabiliser l'ennemi, notamment dans le conflit entre la Russie et l'Ukraine.

Afin d'apprendre à vous protéger contre Stuxnet et tout autre malware, vous pouvez suivre une formation avec Cyber University. Nous proposons des formations sur mesure pour éduquer les effectifs de votre entreprise aux bonnes pratiques de cybersécurité.

En outre, notre formation d'analyste SOC permet d'acquérir des compétences de cybersécurité en seulement 365 heures à compléter en BootCamp ou en formation continue. À la fin du programme, vous serez fin prêt à travailler comme analyste au sein du Centre des opérations de sécurité d'une entreprise.

Les différents modules du cursus couvrent notamment les stratégies d'attaque et de défense, les composantes de la cyberdéfense, le cadre juridique et normatif ou encore la gestion de crise cyber. Cette formation permet d'obtenir la certification GIAC Certified Forensic Analyst (GCFA).

Nos programmes sont conçus par des professionnels de la cybersécurité, et permettent d'apprendre par la pratique grâce à un projet fil rouge et l'usage d'un simulateur de cyberattaque.

Nos formations s'effectuent intégralement à distance via internet, et peuvent être financées par le Compte Personnel de Formation. N'attendez plus et découvrez la Cyber University !

Vous savez tout sur le malware Stuxnet. Pour plus d'informations sur le même sujet, consultez notre dossier complet sur les Trojans et notre dossier sur les Ransomwares.