Comment un virus initialement conçu pour ralentir le programme d’enrichissement nucléaire iranien a-t-il pu se retrouver sur des dizaines de milliers de machines à travers le monde ? L’histoire de Stuxnet met aux prises deux présidents américains, Téhéran et des centrifugeuses nucléaires iraniennes sur fond de tensions au Proche-Orient. Difficile de faire plus romanesque !

Huit ans après sa découverte, Stuxnet est encore loin d’avoir livré tous ses secrets. Plusieurs investigations poussées permettent toutefois de retracer les grandes lignes de ce virus ultra secret, créé pour ou par les services secrets américains dans le but de ralentir le programme nucléaire iranien.

La ville de Téhéran. // Source : Crédit image : Ninara via Flickr.

Stuxnet est découvert en juin 2010, mais des études montreront plus tard que son parcours a probablement commencé quelques années plus tôt, en 2005 ou en 2006, soit à peu près au moment où Téhéran s’est attiré les foudres d’une partie de la communauté internationale en annonçant la reprise de ses travaux autour de l’enrichissement d’uranium.

4 vulnérabilités 0-day

En règle générale, un logiciel malveillant repose sur l’exploitation d’une ou deux failles de sécurité qui ont déjà été documentées et même corrigées. Parfois, le virus exploite une vulnérabilité inédite : on parle alors de faille 0-day (zero day), dont l’exploitation à grande échelle est un événement. Stuxnet exploite quant à lui quatre vulnérabilités 0-day affectant les environnements Windows : du jamais vu, qui témoigne d’un niveau de renseignement bien supérieur à celui des cyberattaques courantes.

Au fil des analyses, le code source de Stuxnet livre petit à petit ses secrets. Au premier niveau, le logiciel est conçu pour se répliquer et peupler les machines qui habitent l’intérieur d’un réseau informatique : la mécanique virale est impressionnante d’efficacité, mais elle reste assez classique.

L’objectif ? Altérer subtilement le fonctionnement des centrifugeuses pour provoquer des casses et ralentir le programme

C’est à l’étage supérieur que les choses sérieuses commencent. Stuxnet active en effet des fonctions spécifiques s’il détecte la présence de certains logiciels sur la machine infectée. En l’occurrence, les outils informatiques développés par l’industriel allemand Siemens pour l’administration et la maintenance des centrifugeuses utilisées pour enrichir l’uranium.

Stuxnet ne visait pas directement les centrifugeuses, mais plutôt les Automates programmables industriels de Siemens (ou PLC, ici en photo) qui contrôlaient électriquement les centrifugeuses. // Source : Wikipedia

S’ils sont présents, Stuxnet déclenche le dernier volet de son infection : il dissimule un rootkit au cœur du système d’exploitation, capable de modifier en toute discrétion les paramètres de ces logiciels. L’objectif ? Altérer subtilement le fonctionnement des centrifugeuses pour provoquer des casses et ralentir le programme, sans laisser imaginer qu’une attaque extérieure puisse en être la cause.

Le crime était presque parfait

Tous les adeptes de romans d’espionnage vous le diront : il suffit parfois d’un petit grain de sable pour enrayer une mécanique bien huilée. Quand on vise des infrastructures de type SCADA, généralement la plus grande difficulté consiste à s’infiltrer au sein de la cible : les ordinateurs visés sont en effet totalement isolés du monde extérieur, et protégés de tous les vecteurs habituels d’infection.

Ici, les analystes s’accordent à dire que Stuxnet a été introduit au sein de la centrale nucléaire iranienne de Natanz au moyen d’une clé USB piégée ou d’un ordinateur portable transporté par un employé. Les auteurs du virus n’avaient cependant pas prévu que l’employé en question connecterait aussi sa clé USB à un ordinateur branché à Internet, déclenchant ainsi une infection à grande échelle.

De Bush à Obama

Edward Snowden affirmera en 2013 que Stuxnet a été coécrit par la NSA américaine et les services secrets israéliens. À l’époque, la déclaration n’est assortie d’aucune preuve tangible de cette collaboration, mais il ne fait guère de doute que les États-Unis sont à la manœuvre.

La centrale nucléaire de Beloïarsk // Source : IAEA Imagebank, via Flickr.

Le New York Times publie le 1er juin 2012 une longue enquête qui explique comment Stuxnet s’intègre dans un programme plus large de contrôle des efforts nucléaires iraniens décidé dès 2006 par George W. Bush. Le quotidien raconte aussi comment ce dossier ultra-sensible est arrivé entre les mains de Barack Obama et comment le 44e Président des États-Unis a décidé de poursuivre l’opération alors même que le secret n’était plus garanti.

Du côté de Siemens, ses ingénieurs ont depuis fourni des outils dédiés à la désinfection des stations de travail infectées par Stuxnet. La firme rappelle aussi qu’il vaut mieux éviter de brancher une clé USB venue de l’extérieur sur une installation sensible… Comme souvent dans les affaires de cybersécurité, la principale faille de sécurité provient essentiellement de l’humain.

Image de Une : La centrale nucléaire de Frenchtown, dans le Michigan. Crédit image : Mike Boening Photography, via Flickr.

Partager sur les réseaux sociaux