La vulnérabilité exploitée par Stuxnet reste très populaire

Malgré la publication par Microsoft d'un correctif en 2010 pour corriger la vulnérabilité exploitée par le ver Stuxnet, celle-ci reste très populaire auprès des cyber-délinquants. C’est en tout cas la conclusion des équipes de Kasperky qui, inspirées par la récente publication d’outils attribués au groupe Equation, ont examiné les principaux exploits utilisés en 2015 et 2016. Et la vulnérabilité du shell Windows mise à profit par le ver Stuxnet (CVE-2010-2568) reste en tête « en termes de nombre d'utilisateurs attaqués ». Car selon l’éditeur, « près d'un quart des utilisateurs qui ont rencontré une menace d'exploitation en 2016 ont été attaqués avec des exploits mettant à profit cette vulnérabilité ». En 2015, c’était 27 % : « cela peut être dû au fait que les logiciels malveillants qui utilisent ces exploits ont une fonction d’auto-réplication, se reproduisant constamment dans le réseau attaqué où des ordinateurs vulnérables sont installés ».

Amol Sarwate, directeur des laboratoires Qualys sur les vulnérabilités, a vérifié ses données, mais aboutit à des conclusions différentes : « si les attaquants visent toujours agressivement la vulnérabilité de Stuxnet, nos données montrent que les organisations ont pris des mesures efficaces pour résoudre le problème ». Selon lui, mi-2012 déjà, 90 % de ses clients avaient appliqué le correctif correspondant. Et d’en profiter pour souligner que « cela renforce l'idée selon laquelle la correction de toutes les vulnérabilités connues devrait toujours constituer une base des pratiques de sécurité ».

D’ailleurs, Ralph Langner, le chercheur de sécurité qui a le premier effectué la rétro-ingénerie de Stuxnet, souligne la puissante de cette vulnérabilité et estime qu’il convient de s’attendre à ce qu’elle continue d’être exploitée jusqu’à ce qu’il ne reste plus une seule machine dépourvue du correctif.

Marc-Antoine Héroux, analyste en informatique, souligne en outre que « Microsoft ne prend en charge ses systèmes d’exploitation obsolètes que pour un temps donné. Une fois que les correctifs ont cessé d’arriver pour ces systèmes, les choses deviennent rapidement hors de contrôle ». Et là, Richard Henderson, stratège mondial de la sécurité chez Absolute, insiste sur le fait que « les réseaux ICS/Scada ont toujours été conçus et construits pour des cycles de vie longs. Cette technologie est conçue pour être installée, mise en route et laissée seule, tournant tranquillement pendant des années, voire une décennie ou plus encore ». Et sa sécurité n’a été considérée qu’à posteriori.