"Stuxnet est un travail d'amateur !" Gadi EVRON brise le mythe.
Dominique BOURRA
CEO NanoJV.
A son tour, Gadi Evron brise le silence pour le tordre le cou à Stuxnet. Selon l’expert israélien en cyberdéfense, Stuxnet est un travail d’amateurs. Quels qu’en soient les auteurs.
Gadi a publié sa tribune il y a trois jours dans Dark Reading, réference internationale en sécurité informatique. Voici en substance, les grandes lignes de son article.
En préambule, Gadi rappelle que toute opération militaire repose sur deux paramètres primordiaux: la dissimulation opérationnelle et l’atteinte des objectifs. Qu’il s’agisse d’une opération classique où d’une cyberattaque.
Avant de pénétrer dans une enceinte hautement sécurisée il faut au préalable collecter des informations et préparer l’ensemble des moyens nécessaires à la réussite de l’opération. Tout cela coûte cher, prend du temps et nécessite la plus extrême discrétion.
Certes, Stuxnet est technologiquement sophistiqué et très coûteux, il fait appel à des vulnérabilités inédites et permet d’infecter des ordinateurs par simple introduction d’une clé usb. Un moyen idéal pour attaquer une centrale non reliée à internet.
Il faut cependant que quelqu’un introduise la clé: un espion, un employé circonvenu, ou un commando. Comme il est impensable que l’opération Stuxnet échoue, il faut préalablement réunir une grande quantité d’informations sur les systèmes ciblés et s’agissant des logiciels SCADA, il faut reconstituer des répliques de l’environnement industriel visé. Tout cela a un coût important.
Un tel outil doit ensuite être utilisé avec les plus grandes précautions afin d’éviter les risques de découverte. Au delà de l’opération elle-même, il aurait fallu veiller à ne pas exposer les méthodes utilisées, la technologie développée et ne pas dévoiler le ciblage des objectifs.
Comment expliquer alors qu’une arme de haute précision comme Stuxnet se retrouve dans des milliers d’ordinateurs dans le monde entier et soit exposée et analysée par tous les éditeurs de logiciels. Attaquer de manière aléatoire des ordinateurs n’a aucun sens, et ne fait au contraire qu’augmenter la possibilité de découverte et d’échec de l’opération.
Alors s’agit-il d’une erreur ? Bien sûr que non. Car un outil développé pour atteindre une cible précise n’aurait rien fait d’autre que détruire sa cible. Comment expliquer alors que Stuxnet poursuive la contamination aléatoire d’ordinateurs après avoir accompli sa soi-disant mission ?
On soulignera au passage que Stuxnet est resté actif alors qu’en 2009 l’une des vulnérabilités 0 day exploitées par le cheval de Troie fut révélée publiquement et patchée par Microsoft. Pourquoi les créateurs du ver ont-ils pris le risque de laisser la cyberarme en circulation alors que le danger de découverte devenait soudain bien réel?
Qui enfin aurait eu intérêt à attaquer des systèmes dans 3 pays cibles comme l’Iran, les USA et l’Allemagne où d’après les éditeurs de logiciels de nombreux cas d’infection ont été découverts ? Sur la base des données techniques, il est encore impossible de connaître l’identité des commanditaires. On peut toutefois s’interroger sur les dégâts industriels provoqués et le mobile des auteurs.
Si l’on en croit les articles publiés dans la presse, les efforts nucléaires de l’Iran auraient été retardés de 3 mois. Ces assertions sont sans fondement réel, mais à supposer que cela soit vrai, il est peu probable que les USA et Israël aient investi tant d’efforts pour un si faible retour. Il est certes possible qu’un Etat soit à l’origine de Stuxnet et pourquoi pas dans ce cas,l’Iran lui-même. Ce ne serait pas la première fois qu’une dictature mène une opération de destabilisation intérieure.
Une autre option est qu’un rival industriel de Siemens soit l’auteur du ver. Stuxnet vise en effet exclusivement les logiciels du constructeur allemand. Siemens a reconnu que jusqu’à présent 14 de ses clients ont été infectés, une grande partie étant en Allemagne. Sans parler de l’énorme préjudice d’image.
Enfin, il pourrait s’agir de l’œuvre d’une organisation criminelle pour faire plier l’industrie, une hypothèse parmi d’autres.
Israël a souvent été pointé du doigt et désigné comme étant l’auteur de Stuxnet. Mais poursuit Gadi, en tant qu’israélien, j’espère qu’un travail aussi négligé n’est pas de notre fait. Aucune organisation militaire ou de renseignements n’aurait fait preuve d’une telle incurie. D’un point de vue opérationnel cela relève tout simplement de l ‘amateurisme.
Dominique Bourra, CEO NanoJV.
commenter cet article …
