Vitaly Kamluk, toujours de Kaspersky Labs, avait déjà eu l’occasion de souligner les étonnantes similarités entre Stuxnet et Duqu. Mais là, Alexander Gostev et Igor Soumenkov, se sont appuyés sur une analyse des pilotes utilisés par les deux logiciels. De quoi, pour eux, «remettre significativement en cause l’histoire ‘officielle’ de Stuxnet ». En fait, lors de l’étude d’un incident lié à Duqu, «notre moteur antiviral a détecté un fichier étrange qu’il a identifié comme Rootkit.Win32.Stuxnet.a», indiquent-ils. Mais il ne s’agissait pas du fichier mrxcls.sys déjà connu : c’en était un autre, inconnu jusqu’alors et un peu plus volumineux mais utilisant le même certificat Realtek que celui utilisé par Stuxnet et signé près de deux mois plus tard. En outre, ce nouveau pilote utilisait une clé de registre et un bloc de données de configuration différents. Duqu utilise en outre un pilote aux fonctionnalités très proches de celles utilisées par un pilote installé par Stuxnet. Et compilé le 20 janvier 2008; un an avant les pilotes principaux de Stuxnet et de Duqu. Dans leur rapport d’analyse, les analystes des Kaspersky Labs reconstituent une chronologie des éléments, identifiant au passage le chaînon manquant de l’évolution entre Stuxnet et Duqu.
Se penchant sur le processus de développement de pilotes, les analystes soulignent que «plusieurs fois par an, les auteurs compilent une nouvelle version du pilote, créant un fichier de référence. Le but principal de ce fichier est de charger et d’exécuter le module principal, qui est créé séparément ». Pour créer un pilote associé à un nouveau module - la charge utile du cheval de Troie -, «les auteurs utilisent un programme dédié pour modifier le fichier de référence du pilote. [...] Ils modifient des fichiers déjà préparés mais n’en créent pas de nouveaux à partir de zéro ». Dès lors, pour eux, Stuxnet et Duqu ont été créés à partir d’une même plateforme conçue fin 2007 ou début 2008 avant de faire l’objet de changements lourds entre l’été et l’automne 2010. Des changements qui «ont été motivés par des avancées dans le code et par le besoin d’éviter la détection par des anti-virus ».
Mais cette conclusion en amène une autre, plus préoccupante : «il y a eu de nombreux projets de programme s’appuyant sur cette plateforme [dite ‘tilded’] de 2007 à 2011. Stuxnet et Duqu sont deux d’entre eux - il pourrait y en avoir eu d’autres qui sont encore inconnus.» Et d’ajouter que «la plateforme continue de se développer.»
Toute reproduction ou représentation intégrale ou partielle des pages publiées sur ce site, faite sans l'autorisation de l'éditeur est illicite et constitue une contrefaçon. LeMagIT s'engage à respecter la confidentialité des données personnelles conformément à la loi 78-17 du 6 janvier 1978. LeMagIT n'assume aucune responsabilité de type éditoriale sur les commentaires publiés sur ce site, la mise en ligne n'étant soumise à aucun contrôle à priori. La fréquentation de ce site est certifiée OJD.
Tous les services du MagIT sur