Le dernier tour d’horizon sur Stuxnet effectué par the H Security réserve quelques surprises de taille. Selon Symantec le ver serait ainsi particulièrement résilient. Stuxnet serait capable de se propager et réinfecter les systèmes informatiques même après une totale désinfection. On a aussi découvert que le ver aurait eu deux vies distinctes. Dans son premier avatar avant mars 2010 il aurait utilisé des fichiers autorun pour se propager, puis se serait répandu à partir du printemps via des clés usb. Enfin, la contamination de la centrale de Busher est bien confirmée. Les iraniens le reconnaissent eux-mêmes. Mais le ciblage d’un site civil par les adversaires de l’Iran, semble peu crédible.
Les analystes font par ailleurs remarquer que stuxnet semble avoir été conçu pour viser les automates programmables (API) S7-400 et S7-300 de Siemens. La multinationale allemande a opposé à cela, que les dispositifs électroniques en question n’ont pas la certification requise pour les centrales nucléaires. Même si il est envisageable que les iraniens aient fait fi de ces standards internationaux. Et que le constructeur russe ait eu le feu vert pour installer des logiciels non certifiés. Busher présenterait d’ailleurs la particularité d’utiliser des versions pirates d’applications de virtualisation.
Frank Rieger, porte parole du Chaos Computer Club a présenté dans le journal allemand FAZ la thèse selon laquelle c’est en fait le site iranien d’enrichissement de Natanz qui aurait été visé. Il appuie sa démonstration sur un document mis en ligne sur wikileaks semblant attester d’une baisse de production en 2009.
Egalement troublant mais un peu léger comme preuve, une interview de Scott Borg, directeur du think-tank U.S. Cyber Consequences Unit publiée par Reuters et reprise par le site israélien ynet, décrivait dès juillet 2009 ce scénario de cyberattaque sur un site d’enrichissement iranien. Une simple clé usb pourrait suffire affirmait-il. A ceci près que ce type de spéculation relativement banale est très répandu dans le monde de la cybersécurité. Cela contribue d’ailleurs à attiser la paranoïa de l’Iran qui arrête régulièrement de supposés espions en relation avec d’hypothétiques tentatives.
The H security n’exclut pas en conclusion que l’Iran ait été infecté à la suite d’une attaque sur l’Inde. Kapersky vient en effet de publier une nouvelle étude tendant à démontrer que l’Inde est le véritable épicentre de l’épidémie et non l’Iran (qui vient en fait en 3ème position). A noter que le constructeur russe de centrales Atomstroyexport, supposé avoir introduit stuxnet à Busher travaille en parallèle sur la centrale nucléaire de Kudankulam dans le sud de l’Inde. Par ailleurs les certificats de conformité détournés pour fabriquer le ver proviennent de Taïwan. Les regards se tournent donc soudain en direction de la Chine, grand rival de l’Inde. Et cyberpuissance mondiale dotée d’une capacité de cyberattaque redoutable. Comme l’a prouvé la pénétration du réseau électrique américain. En corolaire la Chine a renforcé ses propres défenses au point de devenir le meilleur expert mondial des systèmes SCADA. Les systèmes de gestion et contrôles à distance. Utilisés par exemple dans les centrales.
Dominique Bourra, CEO NanoJV.
Copyrights Nanojv: http://nanojv.com
A lire également sur NanoJV:
Guerre économique: La Chine tient le high-tech occidental en joue.
Publié le 30 septembre 2010
0