dimanche 31 octobre 2010

Stuxnet, bombe logique de nouvelle génération


Chers visiteurs,

Je n'étais pas intervenu à chaud sur cette affaire Stuxnet, d'autres commentateurs ayant oeuvré en ce sens afin d'évaluer ses origines, ses modalités d'action et surtout sa nocivité. Pour une étude plus circonstanciée, je vous renvoie à l'article de Charles Bwele paru sur le site de l'Alliance GéoStratégique : Qui a cyberpiraté l'Iran nucléaire ?

Daniel Ventre du CNRS prenant lui aussi du recul sur 01Net, listant tous les points déjà établis par l'allié d'Electrosphère sans malheureusement apporter de nouveaux éléments substantiels. En revanche, il dessine les défis qu'induit l'immixtion de cette menace très perfectionnée : identification des auteurs et des cibles ; capacité de résilience de la population visée ; réaction ad hoc. En somme, l'auteur énonce que nous ne savons rien et que l'attaque amorce plus de questions qu'elle n'apporte de réponses. Ces difficultés de définir qui est l'ennemi et quelle la cible réelle sont déjà à ce titre un bouleversement dans le schéma belliqueux classique. Même lors de conflits asymétriques, il était possible de définir l'ennemi, fut-il caché parmi la population civile. Lors d'attaques ciblées, rien de cela et c'est d'autant plus inquiétant que la force de frappe de ces attaques peut désormais provoquer de réels bouleversements (économiques et sociaux), sans compter des catastrophes humaines (ex. crash de l'avion de la Spanair en 2008 qui selon les résultats préliminaires de l'enquête serait dû à la défaillance du système de diagnostic par un élément tiers perturbateur, un troyen).

Il est néanmoins un point sur lequel les experts sont unanimes : la complexité d'un tel virus. Une ingénierie forçant le respect pour son élaboration et son exécution.
En outre, il est clairement établi que le secteur industriel a prioritairement et sciemment été visé : ce n'est plus l'effet tapis de bombes comme l'on avait connu avec les précédentes occurrences virales informatiques touchant un large public mais c'est désormais une frappe quasi-chirurgicale! En effet, ce sont les SCADA (Supervisory Control And Data Acquisition) de la firme Allemande Siemens qui ont été touchés de par le monde. Le tout en employant un support amovible (clef USB) et des certificats d'authenticité (JMicron Technology et Realtech Semiconductor). Sans omettre le fait que le programme malveillant était conçu pour lancer quatre attaques simultanées sur des failles du système d'exploitation Windows! Avec en prime un codage en plusieurs langages informatiques.
Une bombe logique d'une complexité telle qu'elle ne peut être que le fruit d'une élaboration très minutieuse et avertie.

Si vous êtes anglophone, je vous recommande chaudement cet article d'Infoworld très explicite quant à cette prouesse technique : Is Stuxnet the 'best' malware ever?
With a sample of Stuxnet in hand, researchers at both Kaspersky and Symantec went to work, digging deep in its code in an attempt to learn how it ticked.
What the two companies independently found was attack code that targeted three more unpatched Windows bugs.
"Within a week, a week-and-a-half [of news of Stuxnet], we discovered the print spooler bug," said Schouwenberg. "Then we found one of the EoP (elevation of privilege) bugs." Microsoft researchers discovered a second EoP flaw, Schouwenberg said.
Working independently, Symantec researchers found the print spooler bug and two EoP vulnerabilities in August.
Both firms reported their findings to Microsoft, which patched the print spooler vulnerability [8] on Tuesday, and said it would address the less-dangerous EoP bugs in a future security update.
"Using four zero-days, that's really, really crazy," said O Murchu. "We've never seen that before."
Neither has Kaspersky, Schouwenberg echoed
.

Profitons-en pour signaler que la découverte initiale dudit virus l'a été par une société Bélarusse (Biélorusse), VirusBlokAda. Une nouvelle démonstration du talent des ingénieurs en informatique de ce pays qui a su conserver l'excellence de l'enseignement soviétique en s'adaptant à la nouvelle donne mondiale.
Les sociétés Symantec (Etats-Unis) et Kapersky (Russie) corroboreront la trouvaille des Bélarusses et surtout l'architecture émérite du logiciel.

Quelques soient les conjectures que l'on puisse établir vis à vis de Stuxnet, il est désormais acquis que ce virus est le symbole du franchissement d'un nouveau palier dans les cyberattaques potentielles guettant administrations comme sociétés.

Aucun commentaire: