Stuxnet : il reste des machines infectées et connectées

Diffuser un logiciel malveillant, c’est une chose. Lui faire atteindre sa cible en est une autre. Mais l’empêcher d’infecter au-delà de sa cible est encore plus délicat. C’est la nouvelle leçon – qui ne surprendra toutefois aucun expert en sécurité – de Stuxnet.

Selon les tchèques de Kleissner & Associés, il reste ainsi au moins 153 machines connectées à Internet et infectées par Stuxnet. Pour établir ce chiffre, les chercheurs ont déposé deux domaines utilisés pour le contrôle à distance du logiciel malveillant, profitant d’une sécurisation très limitée de ses protocoles de communication pour les intercepter et suivre sa propagation.

En fait, s’appuyant sur des rapports d’infection transmis par Stuxnet à ses auteurs, les chercheurs affirment qu’il y a bien eu au moins 153 nouvelles infections entre 2013 et 2014. Et pourtant, selon Symantec, les développeurs de Stuxnet ont prévu une disposition pour interrompre sa propagation au-delà du 24 juin 2012.

La plupart des infections ont eu lieu en Iran – près de 48 % -, mais une part importante est localisée en Inde – 23 %. Six font état de la présence de logiciels Scada, six en Iran et une en Chine ; des déploiements Siemens Step7.

Pour mémoire, découvert en juillet 2010, Stuxnet semble avoir été conçu pour saboter l’usine iranienne d’enrichissement d’uranium de Natanz et, ainsi, miner le programme nucléaire de la république islamique. Et cela par les Etats-Unis alliés à Israël, dans le cadre d’un programme plus vaste, Jeux Olympiques, lancé par l’administration Bush en 2006. Une erreur de code aurait permis au logiciel malveillant de se propager au-delà de Natanz pour être en définitive découvert. Avec le recul, Stuxnet apparaît comme la première cyberarme.

Mais elle n’a pas manqué de viser au-delà de sa cible initiale. Chevron a ainsi découvert le ver, inactivé, sur son réseau. Stuxnet aurait également été observé chez Air Liquide.

Pour Kleissner, le problème est toutefois ici plus vaste : avoir la main sur les domaines de contrôle de Stuxnet « nous permet de contrôler toute machine encore infectée par Stuxnet ; n’importe quel service de renseignement (ou individu avec les connaissances et compétences nécessaires) pourrait prendre ce contrôle et potentiellement causer des dommages considérables en profitant des infections restantes ». Et de souligner : « peut importe l’intention initiale, une porte dérobée n’est pas exclusive à une équipe ou un attaquant précis. Tout le monde peut y accéder ». Et de suggérer que les auteurs de Stuxnet auraient été bien inspirés de mieux faire en sécurisant leurs protocoles de communication avec chiffrement par clé publique à l’état de l’art.

Reste un souci : Stuxnet est encore présent sur des machines connectées aux réseaux administratifs de centrales nucléaires. « Les pratiques de référence commandent d’isoler les systèmes de contrôle industriels des autres réseaux internet sans ligne directe vers Internet ». Mais cette barrière physique peut être parfois contournée. Avec le risque que l’on peut imaginer.