Stuxnet renfermerait une allusion biblique
Des experts suspectent fortement Israël d'être l'auteur du ver

Le , par Katleen Erna, Expert Confirmé Sénior
Mise à jour du 30/11/10

Si les fuites de Wikileaks ont permis d'en savoir un peu plus sur les nouvelles imbrications entre les relations internationales et les nouvelles technologies (dans l'affaire des attaques virtuelles contre Google), le site polémique ne possède en revanche aucun document qui permette d'éclairer la mystérieuse origine de Stuxnet, un des virus les plus complexes jamais réalisé et dont le but est, semble-t-il, de s'attaquer aux installations nucléaires iraniennes.

La président iranien, qui a admis que Stuxnet avait en partie rempli sa mission et retardé l'évolution du programme militaire nucléaire de son pays (lire ci-avant), va à nouveau avoir l'opportunité de s'exprimer sur le sujet.

Son expert chargé de stopper et d'éradiquer Stuxnet des infrastructures militaires vient en effet d'être assassiné.

C'est en tout cas ce que croit savoir Debka, une publication Israélienne spécialisée dans le renseignement et les informations militaires.

D'après ce site, le Professeur Majid Shahriari aurait été tué lors d'une fusillade depuis une voiture qui a ensuite pris la fuite. Choses troublante (une de plus), ces coups de feu se seraient produits dans une zone particulièrement sécurisée de Téhéran, zone où se situeraient plusieurs laboratoires secrets.

La fusillade aurait, toujours d'après Debka, été accompagnée d'usage d'explosifs lancés depuis des motos.

Mossad, CIA ou opposant internes Sunnites au régime Chiite ?

Le régime a pour sa part immédiatement accusé les Etats-Unis et Israël (confirmant de fait l'assassinat du scientifique), mais aucune hypothèse n'est à écarter.

Ni même celle de la désinformation pure et dure qui semble accompagner Stuxnet depuis le début de cette affaire.

Source : Debka

MAJ de Gordon Fowler

Mise à jour du 29.11.2010 par Katleen
Le Président Iranien reconnaît enfin l'impact de Stuxnet, qui a touché les infrastructures nucléaires de son pays


L'Iran vient de retourner sa veste ! Alors qu'il y a une semaine, le vice-Président du pays niait toute interférence de Stuxnet dans son programme nucléaire, aujourd'hui le Président Mahmoud Ahmadinejad a reconnu publiquement que les infrastructures liées aux centrifugeuses de son pays ont bel et bien souffert d'une attaque numérique, lancée "par des ennemis de l'Iran" qui ont "réussi à créer des problèmes sur un nombre limité de centrifugeuses".

L'homme tempère cependant son propos en assurant que la menace n'a eu qu'un "effet limité", et que de toutes façons, les opérations nucléaires sur son territoire ne sont qu'à but "pacifique" de création d'énergie, contrairement aux crainte des Nations Unies.

Ne donnant aucun détail sur le "logiciel" qui a été utilisé, il indique que ses spécialistes "ont réussi à le stopper",et que ceux qui l'ont crée "ne pourront pas recommencer".

Mais d'après les divers rapports d'experts dont nous vous avions déjà parlé précédemment, on sait que le malware était fait sur mesure, vraisemblablement par un État plutôt que par une bande de crime organisé. Ce qui a fait dire à plusieurs officiels Iraniens qu'une cyber-guerre avait été déclarée contre leur pays.

Pour Mahmoud Ahmadinejad, ce sont les pays occidentaux et Israël qui ont fomenté ces attaques.

Un climat international qui n'est pas du tout tendu, donc.

Mise à jour du 23.11.2010 par Katleen
Stuxnet n'aurait "pas réussi à accomplir sa mission" en Iran, d'après le vice-président du pays


Le vice Président Iranien Ali Akbar Salehi, responsable du projet nucléaire "pacifique" de son pays, s'est exprimé publiquement à propos de l'affaire Stuxnet.

Il a ainsi déclaré que le malware n'avait pas mené a bien sa mission, puisqu'il aurait été intercepté avant d'avoir atteint sa cible (à savoir des composants clé des équipements nucléaires iraniens : les contrôleurs).

"Depuis plus d'un an, les nations de l'Ouest ont essayé d'implanter le virus dans notre environnement nucléaire afin de gêner nos activités", a-t-il déclaré, évoquant la thèse d'un complot étranger.

Malgré ce démenti officiel, il est établit que le programme nucléaire iranien souffre d'importants retards, et que des centaines de centrifugeuses ont été mises hors service dans les centrales du pays. Ces ralentissements ont-ils été causés par Stuxnet ? Ou par des problèmes techniques ? Dur de le savoir.

Source : Allocution d'Ali Akbar Salehi sur la télévision iranienne

Mise à jour du 22.11.2010 par Katleen
Des indices dans le code de Stuxnet informent sur son créateur, une équipe de 6 à 10 personnes mandatées par une nation d'après les experts


Un chercheur travaillant pour Securicon (entreprise spécialisée dans les traces numériques ou empreintes digitales que les hackers laissent derrière eux) s'est minutieusement penché sur les entrailles de Stuxnet.

Son analyse a ainsi révélé que le malware est constitué de plusieurs blocs distincts. L'un cible les systèmes de contrôle industriels, un autre renferme les méthodes de diffusion du ver et un dernier concerne la manière dont ses créateurs avaient prévu de dialoguer avec lui et de le contrôler.

Autrement dit, il se pourrait qu'une partie du code puisse "parler" et fournir une piste menant à son développeur.

En effet, le logiciel prévu pour s'en prendre aux PLCs (Programmable Logic Controllers) des centrales nucléaires. De quoi prendre le contrôle à distances de certains appareils, comme des pompes ou des moteurs.

Pour savoir comment prendre la main sur de tels équipements, il faut en connaître un rayon sur le sujet, estime Tom Parker. Il fallait par exemple savoir quel langage de programmation a été utilisé, etc. De quoi établir une liste de suspects bien ciblée.

Comme "les compagnies de l'Ouest ont tendance à automatiser toutes leurs productions", il est probable qu'il s'agisse là d'un indice sur la provenance du ver. Pour concevoir Stuxnet, il fallait connaître les systèmes nucléaires d'Iran et probablement y avoir accès.

Mais l'expert de noter que cette partie est la seule à être hautement sophistiquée : "les parties liées à son implémentation dans un système, ainsi qu'à son contrôle ne sont pas si avancées que cela" comparé à d'autres malwares, déclare-t-il.

A son avis, des pirates informatiques chevronnés n'auraient pas eu recours à des codes aussi rudimentaires pour ces deux parties (distribution et contrôle).

Il suggère que l'assemblage du code de Stuxnet a été réalisé par une nation, plutôt que par une branche de crime organisé.

Et pour lui, le pays derrière tout cela pourrait avoir eu un rôle à jouer dans le processus de développement de la plateforme PLC, en demandant à une nation de l'Ouest de s'en occuper, avant d'y ajouter son propre code pour les deux autres parties.

Iran has the highest number of machines infected with Stuxnet
Le chercheur explique que ses analyses révèlent que c'est probablement un groupe de 6 à 10 personnes est à l'origine.

En complément de ces découvertes, des informations apportées par Symantec avancent que ce sont les contrôleurs des fréquences situées entre 807 et 1210 Hz qui étaient visés. Ces dispositifs permettent la régulation d'un moteur.
Une telle précision montre que les cibles étaient clairement définies.

Symantec se demande si Stuxnet a atteint son objectif, et pense que la réponse est positive, puisqu'aucune variante du malware n'a été observée.

Mais Tom Parker remarque que le logiciel malveillant n'a pas survécu aussi longtemps que l'auraient espéré leurs créateurs.

Sa neutralisation par les firmes de solution antivirus a du en faire fulminer plus d'un, puisque de ce fait, l'énorme investissement placé dans Stuxnet n'est plus utilisable. Dommage. Ou pas.

Sources : Securicon, Symantec

Stuxnet renfermerait une allusion biblique
Des experts suspectent fortement Israël d'être l'auteur du ver

Mise à jour du 01/10/10

Jusqu'ici, le très complexe ver Stuxnet donnait plus dans le registre des films d'espionnage.
Son but principal étant, visiblement, de pénétrer les infrastructures industrielles Iraniennes (et Chinoises).

Mais avec la « découverte » de plusieurs experts en sécurité, Stuxnet plonge également en plein Da Vinci Code.

D'après les experts en question, le code du ver comporterait un fichier nommé Myrtus (en français : l'arbre de Myrte). Un nom très inhabituel et surtout hautement symbolique dans le culture biblique.

Symbole de paix et d'espoir de jours meilleurs (« Au lieu du buisson croîtra le sapin et au lieu de l'épine croîtra le Myrte ; et cela rendra glorieux le nom de l'Éternel et sera un signe perpétuel, qui ne sera jamais retranché »), le Myrte est aussi symbole de justice dans l'Ancien Testament.

C'est sur cette dernière interprétation que s'arrêtent les tenants de cette thèse de la référence biblique. Une thèse rapportée dans le très sérieux New York Times. Pour eux, ce nom de fichier serait ouvertement une allusion au Livre d'Esther (et donc à la Torah).

Livre d'Esther où il y est dit : « Elle s'appelait Hadassah parce qu'elle était juste et que l'on compare au Myrte ceux qui aiment la justice». Hadassah est l'un des noms de la reine Esther et signifie en hébreux : Myrte.

Or ce Livre raconte comment, sous la direction de la reine Hadassah donc, le peuple juif déjoua des attaques Perses destinées à l'anéantir.

On voit immédiatement l'auteur du ver désigné par cette thèse.

Farfelu ? Tiré par les cheveux ? Réel indice de la provenance du ver ?

Les supputations vont bon train. Toujours est-il que ce fichier est bel et bien présent dans le code. Mais il pourrait aussi bien « faire partie d'un jeu d'esprit [que] montrer la négligence ou bien la fantaisie des codeurs » constate le journal.

Des développeurs Israéliens auraient-ils eu la négligence de laisser de tels indices derrière eux ? Ou s'agit-il d'une diversion pré-étudiée pour diriger les soupçons vers un pays dont les services secrets sont bien-connus ?

Les preuves sont légères pour répondre à ces questions, voire inexistantes.

De son coté, et sans surprise, le gouvernement Israélien dément toute implication dans cette cyber-attaque.

Sur le ver en lui-même on sait toujours assez peu de choses. On suppose que la première version du ver est apparue en 2009, puis qu'elle a été modifiée début 2010. Par qui ? Encore une question.

L'origine de Stuxnet ? Mystère également.

Et l'on risque de ne pas en savoir beaucoup plus. « Lors d'entretiens dans plusieurs pays, les experts en cyber-guerre et en technologie nucléaire disent que le mystère Stuxnet pourrait ne jamais être résolu ».

Un rébus enveloppé de mystère au sein d'une énigme, pourrait-on dire pour paraphraser Winston Churchill, experts parmi les experts des relations internationales et de l'espionnage.

Source : Article du New York Times

MAJ de Gordon Fowler

Le virus Stuxnet, d'une "complexité sans précédent" : il attaque les infrastructures industrielles de l'Iran qui évoque une "guerre électronique"

Stuxnet. Ce nom s'est répandu comme une traînée de poudre sur le monde en l'espace de quelques jours, depuis que des rapports plus alarmistes les uns que les autres ont été diffusés à son sujet par des experts et des firmes, spécialisés en sécurité informatique.

Cette menace informatique, simple malware pour les uns, maliciel d'infiltration terroriste pour les autres, sème la panique en Iran. Il est « d'une complexité sans précédent » et « n'est pas le travail d'un petit hacker », prévient Laurent Heslault, un cadre haut placé chez Symantec.

Il vise les systèmes informatiques industriels de l'Iran, où il a déjà infecté plus de 30.000 ordinateurs.

Découvert en juin 2010 par une équipe biélorusse, Stuxnet est en fait un cheval de Troie très sophistiqué qui s'attaque à une vulnérabilité de Windows Shell pour prendre grâce à cela le contrôle du système SCADA (qui permet de contrôler les automatismes, les robots, la distribution d'électricité, etc. d'un site stratégique visé -usine, centrale électrique, etc.-) qui est composé d' applications industrielles signées Siemens (produits WinCC-PCS7).

La contamination a vraisemblablement débuté par des introductions via clés USB, puisque le SCADA est un réseau interne et fermé, qui n'est pas connecté à la Toile.

Une fois en place, le virus utilise pas moins de 4 exploits zero-day, fait rare dans le hacking.

"C'est sans précédent: on n'avait jamais vu quelque chose comme ça sur la qualité du développement. Ce maliciel est 10 à 20 fois plus gros que les autres, il y a énormément de programmes dedans, de codes, on en découvre encore quasiment chaque jour. On estime le temps de développement à l'équivalent de 6 à 10 personnes sur 6 ou 9 mois, au minimum.
Ce qui est impressionnant, c'est le niveau de sophistication qui a été mis dans le développement très professionnel et l'utilisation de vulnérabilités zero day, c'est à dire qui n'ont jamais été détectées avant. Ils ont été jusqu'à voler des certificats d'une compagnie de software taïwanaise pour faire en sorte que leur maliciel soit signé et n'ait pas l'air malveillant. C'est du jamais vu.
Ce n'est pas du tout le travail du petit hacker dans sa cave. On est même largement au dessus du gang de cybercriminels classique", s'étonne Symantec.

Beaucoup de mystère enveloppe Stuxnet. Personne ne sait vraiment d'où il vient, et qui l'a crée. D'autant que la mise au point d'un malware d'un si haut niveau nécessite un investissement financier de plusieurs millions d'euros. Qui pourrait se le permettre, et qui voudrait nuire à l'Iran ?

D'ailleurs, pourquoi un tel acharnement sur l'Iran, dont le ministre de l'Industrie a même déclaré : « Une guerre électronique a été lancée contre l'Iran» ?

Les pays s'opposant à sa nucléarisation sont légion. Mais c'est une autre histoire...

Source : L'agence de presse iranienne ISNA

A lire aussi :
Un expert en sécurité informatique d'IBM avait déjà réussi le tour de force de prendre le contrôle d'un système SCADA, en 2007 (en anglais)


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de hotcryx hotcryx
http://www.developpez.com
Membre chevronné
le 27/02/2013 10:25
Ce n'est pas un petit virus.

Ils voulaient faire sauter la centrale?
Avatar de sevyc64 sevyc64
http://www.developpez.com
Modérateur
le 27/02/2013 11:29
Citation Envoyé par hotcryx  Voir le message
Ce n'est pas un petit virus.

Ils voulaient faire sauter la centrale?

Oui, ils voulaient la détruire. Tout au moins détruire les installations qui pouvaient plus tard devenir un moyen de fabriquer des bombes atomiques.

Et non, ce n'est pas un petit virus. Ce n'est pas non plus un virus classique destiné à infecter le maximum de machines et destiné à récupérer ou détruire un maximum de données.
On est ici avec une arme de guerre dans une opération chirurgicale dans une guerre non déclarée. Si les auteurs ne sont pas encore bien connus, tout porte à penser que ça doit probablement être l'Israël et/ou les Etats-unis avec sans doute, de toute façon, les Etats-Unis en commanditaires initiaux.
Avatar de hotcryx hotcryx
http://www.developpez.com
Membre chevronné
le 27/02/2013 11:51
On est ici avec une arme de guerre dans une opération chirurgicale dans une guerre non déclarée. Si les auteurs ne sont pas encore bien connus, tout porte à penser que ça doit probablement être l'Israël et/ou les Etats-unis avec sans doute, de toute façon, les Etats-Unis en commanditaires initiaux.

Je le crains aussi (c'est militairement correct) et ça devient mondialement inquiétant.

Espérons que ce code ne tombe jamais entre les mains de vrais malades (comme un groupe Anonymous voulant mettre le bronx) qui s'attaqueraient sans trop réfléchir à toutes les centrales du monde.
Avatar de ticNFA ticNFA
http://www.developpez.com
Membre confirmé
le 27/02/2013 12:46
Il est certain qu'avoir un arsenal pouvant faire péter plusieurs fois la planète, occuper plusieurs pays, contaminer un pays entier d'Agent Orange, faire marcher la planche à billet à outrance, fomenter des coups d'état, prétendre qu'un pays détient des armes de destruction massive, avoir un énorme passif en barbouzeries dont celle-ci, est signe d'une grande responsabilité.
Anonymous, même en se plaçant de ton point de vue pour le moins borné, considérés comme des fabricants de "bronx", peuvent aller se rhabiller.
Avatar de sevyc64 sevyc64
http://www.developpez.com
Modérateur
le 27/02/2013 13:45
Citation Envoyé par hotcryx  Voir le message
Espérons que ce code ne tombe jamais entre les mains de vrais malades (comme un groupe Anonymous voulant mettre le bronx) qui s'attaqueraient sans trop réfléchir à toutes les centrales du monde.

Il existerait dore et déjà, à priori, plusieurs déclinaisons, d'une part de Stuxnet, mais aussi de Flame (Stuxnet étant lui-même une déclinaison de Flame, Flame étant la mise en œuvre virale du code Flamer).
Comme dit dans l'article, le code pourrait dater de 2005 voire avant, il n'a été découvert qu'en 2012.

Quant à pirater les centrales du monde entier, heureusement, ce n'est pas à la portée de n'importe quel quidam, fut-il Anonymous. Il faut obligatoirement des complicités internes à la centrale et avec un niveau d'accréditation certainement très élevé.
Avatar de leridant leridant
http://www.developpez.com
Membre à l'essai
le 04/03/2013 15:09
certains devraientt se renseigner sur ce qu'est l'enrichissement de l'uranium. C'est un procédé chimique de séparation de l'uranium naturel afin que la partie utile (l'uranium 235) soit ne plus grande quantité.
https://fr.wikipedia.org/wiki/Enrich...de_l%27uranium

Donc la destruction des centrifugeuses ne provoquera pas d'explosion atomique comme semblent le penser certain et cette attaque n'est pas transposable à une centrale nucléaire qui n'effectue pas cette opération.

personnellement, je trouve intéressant cette news... pour une fois qu’on se rend compte de la guerre cachée qui se passe en permanence.
Offres d'emploi IT
Développeur sénior php h/f
CDI
MOBISKILL - Ile de France - Paris (75000)
Parue le 10/10/2014
2 concepteurs développeurs d'applications
CDD
IGN - Aquitaine - Saint-Médard-en-Jalles (33160)
Parue le 09/10/2014
Architecte technique web PHP. (H/F)
CDI
Syage - Ile de France - Paris (75017)
Parue le 07/10/2014

Voir plus d'offres Voir la carte des offres IT
 
 
 
 
Partenaires

PlanetHoster
Ikoula