Un petit clin d'oeil à Aaron B.
Suivre l'enquête
STUXNET met Pékin en état d'alerte. Menaces sans précédent sur la sécurité intérieure et l'industrie
Par Dominique BOURRA
Le South China Morning Post sonne le tocsin aujourd’hui. Le cybermissile Stuxnet toucherait à présent les infrastructures industrielles stragégiques de la Chine continentale. 6 millions d’ordinateurs et un millier de sites seraient déja touchés a révélé hier l’agence chinoise Xinhua. La source de l’attaque proviendrait de serveurs basés aux USA. Un porte-parole de Siemens a précisé que les systèmes de contrôles visés étaient également utilisés à Hong-Kong. Pour le moment l’ancienne colonie britannique serait épargnée. Mais la menace d’infection imminente porterait sur : l’aéroport international de Hong-Kong,Dysneyland , les chemins de fer, la centrale de CLP group, l’hôpital St Paul, etc. Si aucun système de l’île n’est pour le moment touché, les experts chinois parlent cependant d’une menace sans précédent sur la sécurité intérieure chinoise.
Le logiciel malveillant incriminé ne se contente pas d’infecter les ordinateurs et de voler des données sensibles, mais ouvre également un passage (back door)pour la manipulation et la prise de contrôle à distance. Tous les secteurs industriels ont été placés en état d’alerte. Les aciéries, le secteur de l’énergie, les transports. On n’avait encore jamais vu cela en Chine selon les experts locaux en cybersécurité. Les systèmes de Siemens sont dans le collimateurs sur tout le territoire chinois. A Münich au siège de la multinationale, pas de commentaires sur la situation en Chine. On en serait pour l’heure à la prévention. Une tâche énorme dans la mesure où les systemes allemands équipent les aéroports, les chemins de fer, les centrales et le barrage des Trois Gorges. Les inquiétudes concernant cette dernière infrastructure critique sont palpables, en cas de hacking, les conséquences sur le gigantesque barrage seraient en effet plus dévastatrices qu’un bombardement.
Le virus qui se propage actuellement serait du meme type que Stuxnet apparu il y a quelques mois en Inde et en Iran. Le journal chinois en rappelle brièvement l’un des modes de transmission. Il suffit par exemple de brancher un lecteur MP3 sur un ordinateur du réseau pour contaminer l’ensemble d’un complexe industriel. La faille exploitée serait au coeur des logiciels visés. Cependant Siemens aurait distribué dès la fin juillet des antivirus à ses clients pour désinfecter les sites sans stopper la production. Le problème semble cependant encore loin d’être totalement endigué. A suivre.
Dominique Bourra, CEO NanoJV.
Cyberguerres : Rebondissements dans l'affaire Stuxnet."H Sécurity" avance l'hypothèse d'un réglement de comptes entre l'Inde et la Chine
Le dernier tour d’horizon sur Stuxnet effectué par the H Security réserve quelques surprises de taille. Selon Symantec le ver serait ainsi particulièrement résilient. Stuxnet serait capable de se propager et réinfecter les systèmes informatiques même après une totale désinfection. On a aussi découvert que le ver aurait eu deux vies distinctes. Dans son premier avatar avant mars 2010 il aurait utilisé des fichiers autorun pour se propager, puis se serait répandu à partir du printemps via des clés usb. Enfin, la contamination de la centrale de Busher est bien confirmée. Les iraniens le reconnaissent eux-mêmes. Mais le ciblage d’un site civil par les adversaires de l’Iran, semble peu crédible.
Les analystes font par ailleurs remarquer que stuxnet semble avoir été conçu pour viser les automates programmables (API) S7-400 et S7-300 de Siemens. La multinationale allemande a opposé à cela, que les dispositifs électroniques en question n’ont pas la certification requise pour les centrales nucléaires. Même si il est envisageable que les iraniens aient fait fi de ces standards internationaux. Et que le constructeur russe ait eu le feu vert pour installer des logiciels non certifiés. Busher présenterait d’ailleurs la particularité d’utiliser des versions pirates d’applications de virtualisation.
Frank Rieger, porte parole du Chaos Computer Club a présenté dans le journal allemand FAZ la thèse selon laquelle c’est en fait le site iranien d’enrichissement de Natanz qui aurait été visé. Il appuie sa démonstration sur un document mis en ligne sur wikileaks semblant attester d’une baisse de production en 2009.
Egalement troublant mais un peu léger comme preuve, une interview de Scott Borg, directeur du think-tank U.S. Cyber Consequences Unit publiée par Reuters et reprise par le site israélien ynet, décrivait dès juillet 2009 ce scénario de cyberattaque sur un site d’enrichissement iranien. Une simple clé usb pourrait suffire affirmait-il. A ceci près que ce type de spéculation relativement banale est très répandu dans le monde de la cybersécurité. Cela contribue d’ailleurs à attiser la paranoïa de l’Iran qui arrête régulièrement de supposés espions en relation avec d’hypothétiques tentatives.
The H security n’exclut pas en conclusion que l’Iran ait été infecté à la suite d’une attaque sur l’Inde. Kapersky vient en effet de publier une nouvelle étude tendant à démontrer que l’Inde est le véritable épicentre de l’épidémie et non l’Iran (qui vient en fait en 3ème position). A noter que le constructeur russe de centrales Atomstroyexport, supposé avoir introduit stuxnet à Busher travaille en parallèle sur la centrale nucléaire de Kudankulamdans le sud de l’Inde. Par ailleurs les certificats de conformité détournés pour fabriquer le ver proviennent de Taïwan. Les regards se tournent donc soudain en direction de la Chine, grand rival de l’Inde. Et cyberpuissance mondiale dotée d’une capacité de cyberattaque redoutable. Comme l’a prouvé la pénétration du réseau électrique américain. En corolaire la Chine a renforcé ses propres défenses au point de devenir le meilleur expert mondial des systèmes SCADA. Les systèmes de gestion et contrôles à distance. Utilisés par exemple dans les centrales.
Dominique Bourra, CEO NanoJV.
commenter cet article …
