Archives NanoJV. Article mis en ligne le 30 octobre 2011.
*
Stuxnet a été révélé par VirusBlokada une société de sécurité biélorusse. Duqu l’a été par une société hongroise, Crysys (pour Cryptographie et Systèmes de Sécurité). C’est aussi le laboratoire de recherche Crysys qui a trouvé le nom du nouveau cheval de Troie : Duqu.
Mais comme dans le cas de Stuxnet ce sont les gros éditeurs d’antivirus américain (Symantec) et russe (Kaspersky) proches de leurs gouvernements respectifs qui se chargent des analyses en profondeur. Kaspersky fait sensation ces derniers jours en montrant le ciblage de Duqu : l’Iran et le Soudan. Dans ce dernier pays Kaspersky est partenaire avec deux sociétés de services informatiques à Khartoum.
La mention du Soudan assure le buzz et l’éditeur russe s’en régale. Le Soudan fait en effet partie de l’axe pro-iranien au même titre que le Venezuela, la Corée ou encore la Malaisie. D’où la cohérence apparente dans la trouvaille de Kaspersky. Encore ne s’agit-il que d’un seul cas d’infection pour le Soudan. Mais Kaspersky assure que les rares incidents recensés portent pour le moment exclusivement sur l’Iran et le Soudan (même si des suspicions existent pour le Royaume Uni, Les USA, l’Autriche et l’Indonésie).
Alors que Stuxnet était piloté à partir de la Malaisie et du Danemark avant de passer en mode peer to peer, l’éditeur Kaspersky n’exclut pas que les systèmes de commande et contrôle du cheval de Troie Duqu puissent être différents pour chaque cas recensé (Le premier cas permettait de remonter à un serveur situé en Inde).
Le code de Duqu est semblable à celui de Stuxnet pour la partie missile mais très différent sur la partie ogive contenant la charge. D’importantes différences existent également quant au mode de propagation.
Alors que Stuxnet se propageait via des périphériques USB, il semble que Duqu provient de ce que certains spécialistes nomment un vaisseau mère, comme dans la guerre des étoiles. Ce "mothership" n’aurait pas encore été identifié. Ensuite, Duqu ne vise pas des systèmes de contrôle industriels (Scada). Enfin alors que Stuxnet utilisait 4 vulnérabilités zéro day (les fameux ZDE), Duqu en utiliserait une seule.
Le grand facteur de différentiation entre Stuxnet et Duqu porte donc sur l’ogive du missile cybernétique. Stuxnet peut être comparé à un drone avec une charge bactériologique visant l’infection d’une cible spécifique. Duqu apparaît pour sa part comme un drone cybernétique d’observation et d’espionnage…
Stuxnet était un ver et se répliquait de manière incontrôlable. Duqu en revanche est un RAT (Remote Administration Tool) qui permet la prise de contrôle d’un ordinateur à distance. Il est largué par un vaisseau mère (c’est une image), pour le moment invisible et totalement furtif.
*
*
Copyright NanoJV (reproduction non autorisée).
Retour au mur du site : ici
*
Illustration musicale Led Zep "Mothership"
*
*
*
*
Lechartier
30 octobre 2011
Un petit Led Zep me fait du bien et cela fait un bail que je ne les ai pas entendus !
Merci, la prochaine les Who , je suis preneur !!
M