Stuxnet : la piste du ver qui cible le nucléaire iranien avance 

L’affaire est entendue : Stuxnet n’est pas un logiciel malveillant comme les autres. Tous les spécialistes de la sécurité informatique s’entendent clairement sur ce point. Il faut dire que ce ver qui défraie la chronique depuis plusieurs mois ne manque pas d’originalité. Stephan Tanase, de Kaspersky, relevait ainsi, dans nos colonnes, fin septembre, que Stuxnet cible les systèmes informatiques de contrôle des infrastructures industrielles, les Scada, qu’il s’appuie, pour se propager, sur «deux certificats numériques pour signer ses fichiers, des certificats qui appartiennent à d’authentiques constructeurs informatiques», et enfin qu’il «exploite 4 failles zero day». «C’est tout bonnement ahurissant,» concluait-il. 

Mais quelques jours plus tard, Symantec faisait une autre découverte : la capacité du ver à réinfecter des machines après leur nettoyage, via les fichiers .S7P des projets d’automatismes du Simatic Manager de Siemens, l’outil logiciel visé par Stuxnet. Nicolas Fallière, ingénieur logiciel chez l’éditeur, voyait alors là «l’une des surprises que Stuxnet nous a réservé». Et il en entendait d’autres. Le voilà servi par les dernières découvertes de son collègue Eric Chien. 

Une cible étonnamment précise

Si l’on savait déjà que Stuxnet visait des contrôleurs logiques programmables, la cible exacte du ver restait floue. Avec l’aide d’un expert de Profibus - un fabricant d’équipements utilisés pour les Scada -, Eric Chien, également ingénieur logiciel chez Symantec, a réussi à en apprendre un peu plus. Sur son blog, il explique ainsi que Stuxnet vise les contrôleurs S7-300 et leurs modules de communication CP-342-4. Des modules qui intègrent des convertisseurs de fréquences utilisés pour le contrôle de moteurs électriques : les convertisseurs alimentent ces moteurs en courant électrique alternatif suivant une fréquence qui détermine la vitesse de rotation. 

Plus précisément, Stuxnet commence par observer le système auquel il parvient à avoir accès, cherchant des convertisseurs fonctionnant entre 807 et 1210 Hz. Il se donne pour cela 13 jours. Une fois les cibles identifiées, Stuxnet modifie la fréquence de fonctionnement, la faisant monter à 1410 Hz. Puis, il attend de nouveau. Pendant 27 jours. Là, il commence par faire tomber la fréquence à 2 Hz, avant de la faire remonter à 1064 Hz. Et d’attendre de nouveau 27 jours avant de relancer cette séquence. Voilà pour les nouvelles informations fournies par le code de Stuxnet.

La piste du nucléaire iranien

Mais voilà. Comme le relève Eric Chien, les convertisseurs de fréquence de hautes précision visés par Stuxnet ne sont pas d’une totale banalité : leur exportation est contrôlée aux Etats-Unis en raison de leur intérêt pour l’enrichissement de l’uranium dans des centrifugeuses. La Fédération des Scientifiques Américains explique le procédé, sur son site Web, tout en indiquant que, pour atteindre les vitesses de rotation du mélange gazeux nécessaires à la séparation de l’uranium 235 et de l’uranium 238 (ou plutôt des molécules d’hexafluorure d’uranium 235 et 238), il est nécessaire d’utiliser des convertisseurs de fréquence fonctionnant à plus de 600 Hz.   

Certains voient là matière à renforcer la crédibilité des hypothèses émises dès le mois de septembre dernier et selon lesquelles Stuxnet aurait visé spécifiquement les systèmes d’enrichissement d’uranium iraniens. Pour Ralph Langner, qui fut l’un des premiers à s’exprimer ouvertement dans ce sens, Stuxnet pourrait tout simplement chercher à briser les rotors de centrifugeuses. De quoi, pour certains, aider à expliquer les dysfonctionnements rencontrés par l’Iran dans ses installations d’enrichissement d’uranium. Et de relancer la spéculation sur une opération de cyber-sabotage commanditée par un Etat. 

En complément :

- Stuxnet met en lumière l’absence de culture de sécurité IT dans les SCADA

- Le ver Stuxnet est-il la première cyber-arme ?

- Stuxnet : l’Iran se pose en victime d’une «guerre électronique»