Par Dominique BOURRA
Le 15 décembre dernier, le sympathique expert en sécurité Ralph Langner accordait une interview téléphonique choc au Jerusalem Post (ici) qui titrait euphorique ‘le virus stuxnet fait reculer le programme nucléaire iranien de deux ans ». Le spécialiste allemand qui connut son heure de gloire en septembre dernier en désignant aux médias du monde entier Israël comme étant la source probable de Stuxnet en raison de la signature « myrtus » (ici), en rajoute donc une couche dans la même veine : oui c’était bien une frappe militaire, un grand succès, conçu par l’armée israélienne. Le journaliste du JPost sur un nuage appuie l’affirmation en rappelant que l’AIEA avait signalé dans un rapport publié le mois dernier une interruption de production d’uranium en Iran, probablement due à Stuxnet. Du coup Langner fanfaronne un peu et annonce que l’Iran ferait mieux de jeter tous ses ordinateurs infectés. D’ailleurs poursuit-il en verve : l’Iran n’est pas bon en technologie de l’information (ndlr cela reste à prouver –ici), pour remettre leur système en route, les iraniens devront se débarrasser du virus, cela leur prendra du temps, et puis ils devront remplacer l’équipement, les centrifugeuses de Natanz, et peut être même une nouvelle turbine à Bousher.
Cerise sur le gâteau, le JPost procède à une petite investigation expresse et appelle le patron d’une société de sécurité canadienne spécialisée en sécurité pour les automates industriels, Tofino (ici) qui confirme que des centaines de connexions sur son site proviennent d’Iran depuis plusieurs semaines, et que donc, cqfd, la République Islamique a bien de gros problèmes avec Stuxnet. Tout va donc très bien madame la Marquise, se dit le lecteur du JPost à qui l’on demande en attendant le marchand de sable, de tout gober sur parole. Et surtout de faire l’impasse sur les analyses très nuancées d’Isis (ici) quant à l’impact éventuel de Stuxnet sur les centrifugeuses iraniennes, d’oublier les déclarations des meilleurs experts en cyberdéfense israéliens (ici, et là) écartant l’implication israélienne, et last but not least le discours de départ du précédent patron des renseignements militaires israéliens pas franchement optimiste sur l’Iran (ici).
Mais les choses ne s’arrêtent pas là. Et ce que les lecteurs du JPost ne savent peut-être pas c’est que le jour où le quotidien publie l’interview, le 15 décembre, l’excellent Ralph Langner donne une autre interview, radiophonique cette fois, à Dale Peterson, un ancien de la NSA (National Security Agency) fondateur de Digital Bond une société américaine spécialisée dans la sécurité des systèmes industriels SCADA et fondateur du salon spécialisé S4 (ici). Et là, changement de ton.
Pour la petite histoire, l’émission d’une heure est sponsorisée par la société israélienne d’élite Waterfall, spécialisée dans la sécurisation des centrales nucléaires entre autres (ici). Alors, fait remarquable, pendant tout le temps de l’émission Langner interrogé par Peterson sur les zones d’ombres de Stuxnet ne prononcera pas une seule fois le nom d’Israël. Le leitmotiv de l’émission est en effet : Stuxnet a ouvert une brèche dans la sécurité des systèmes industriels mondiaux en lançant une preuve de concept qui sera tôt ou tard copié par les cyber mafias (ici) et les hackers, mettant en péril des milliers voire des millions de cibles industrielles.
Ralph explique en préambule de l’émission qu’avec sa petite équipe (ici) il travaille à Hambourg depuis plusieurs années sur les systèmes de contrôles de Siemens et que l’expertise développée notamment en se livrant à du « reverse engineering » sur les dits systèmes lui a permis de devenir un des meilleurs spécialistes de Stuxnet. D’ailleurs poursuit il cela va être très dur de faire face à la crise post Stuxnet en Allemagne parce que les systèmes visés par le virus, sont omniprésents outre-rhin. Dans les ascenseurs, les feux de circulation, les usines, les centres de production, partout.
La thèse longuement développée par Langner, est que Stuxnet a ouvert une boîte de Pandore en révélant un nouveau type d’attaque et que des imitations ne tarderont pas à apparaître n’importe où dans le monde. Selon lui le plus grand danger vient de l’injection de code dans les contrôleurs industriels. Les hackers n’auront pas besoin de décrypter Stuxnet pour le copier, il leur suffira de suivre les forums de discussions spécialisés, de lire toute la littérature technique en ligne sur le sujet puis de concevoir leur propre scénario. Tous les types d’automates industriels sont d’après lui attaquables sur ce modèle, quelle que soit la marque. Stuxnet a ciblé Siemens en fonction de besoins spécifiques mais il aurait aussi bien pu s’attaquer à des systèmes concurrents.
L’injection de code et l’attaque de type « HDM » (homme du milieu ou MITM en cryptographie) est à la base de tout, si vous faites cela « you are in the business » confirme-t-il à plusieurs reprises. Un vrai cauchemar pour les spécialistes de sécurité le « man in the middle ». Dans le cas de Stuxnet, l’automate industriel est non seulement dévié de ses fonctions d’origine mais au moment de l’attaque, il rejoue des données normales préenregistrées si bien que l’opérateur ne voit que du feu sur son écran de contrôle. Comme dans les films hollywoodiens (ici) précise Langner, quand les cameras de surveillance diffusent un film pré-enregistré montrant un environnement parfaitement normal sur les écrans de contrôle, alors que l’effraction est en cours.
Pour Langner le pire est à venir. D’ailleurs note-t-il au passage, les concepteurs de Stuxnet ont eux même au moins deux ans d’avance sur l’état de l’art compte tenu des nombreux mois de développement qui ont été nécessaires pour élaborer le ver. De manière générale observe Peterson tous les Etats vont s’intéresser à cette nouvelle forme d’attaque comme alternative aux guerres conventionnelles. Mais pour Langner le danger imminent vient des groupes terroristes ou des cyber mafias, désormais instruits par ce précédent.
En attendant l’expert allemand ne comprend toujours pas pourquoi Siemens a si peu communiqué sur la question, pourquoi l’attaque 417 (ciblant potentiellement les convertisseurs de centrifugeuses) n’a été révélée que le 22 novembre, pourquoi il y a quelques semaines encore le géant allemand indiquait que Stuxnet cherchait probablement encore sa cible. Peterson et Langner concluent de conserve en formulant le même reproche de rétention d’information à l’encontre de l’autorité américaine de cyberdéfense : l’ICS CERT(ici). Et Langner, confessant sa grande perplexité sur le ver, de s’exclamer: « Please tell us what the damn thing does ! (*) ».
(*) Pour l’amour du ciel dites nous ce que fait cette P… de chose !
Dominique Bourra, CEO NanoJV
Copyrights Nanojv: http://nanojv.com
commenter cet article …
