2.2 C
Paris
décembre 12, 2019
intelligence strategique
Cyberdefense

Duqu et Stuxnet : deux cyberarmes, un maître d’oeuvre?

Stuxnet et Duqu sont assez exceptionnels (au sens premier du terme) parmi les logiciels malveillants. En effet, ces deux malwares se sont illustrés ces deux dernières années dans le cyberespace par leur complexité, mais aussi par l’utilité stratégique de leur objectif : le programme nucléaire iranien. Que peut-on savoir d’eux dans un cyberespace où l’anonymat, le secret défense et l’absence de frontières règnent en maître ? Essai d’analyse.

 

Stuxnet : l’Iran, cible de la première cyberarme.

Juin 2010, un nouveau ver pour Windows fait son apparition dans les laboratoires de recherche de la société biélorusse VirusBlokAda spécialisée en sécurité informatique. Utilisant quatre failles non connues de Windows et profitant d’une mauvaise configuration dans le système de gestion (PLC) Siemens des centrifugeuses, ce ver, dénommé rapidement Stuxnet, allait devenir aux yeux des experts du monde entier la première cyberarme, car sans doute réalisée uniquement dans le but de détruire ou paralyser tout ou partie du système industriel d’un pays.

Outre les multiples craintes qu’ont fait naître Stuxnet, ce logiciel malveillant avait une cible précise : les centrifugeuses permettant la réalisation d’un uranium hautement enrichi, et donc à visées militaires. Ce n’est qu’à la rentrée 2010 que l’Iran, pris dans la tourmente médiatique, a du avouer son impuissance concernant l’attaque dont il a fait l’objet, ayant selon certains experts, reculé de cinq ans le programme de la bombe iranienne. Stuxnet était bel et bien une arme, composée comme telle, avec un système de propulsion : des vulnérabilités permettant sa diffusion dans les réseaux informatiques, mais également une charge utile, c’est à dire un code d’exploitation permettant de saboter le système de contrôle (PLC) des centrifugeuses d’enrichissement.

Le petit monde des experts en sécurité n’avait jamais rien vu de tel, quatre vulnérabilités non connues affectant uniquement le système Windows présentes dans un seul et même ver informatique. Ce dernier utilisait de plus des certificats permettant de signer son code source devenant à terme un logiciel légitime aux yeux du système ciblé. Cela devenait une évidence pour tous, du fait de son ingéniosité et de ces nombreux codes d’exploitation embarqués, Stuxnet était l’œuvre d’un État, indéniablement en possession de capacités avancées en Lutte Informatique Offensive (LIO).

 

En 2011 : Duqu, un RAT à la furtivité intrigante.

Récemment, un autre logiciel malveillant a fait son apparition dans le cyberespace. Dénommé par les occidentaux “Duqu”, suite aux noms des fichiers qu’il laissait sur les systèmes infectés, ce Remote Administration Tool (RAT) a été recensé dans plusieurs pays, dont principalement l’Iran. Toutefois, contrairement à Stuxnet, Duqu était cette fois-ci dédié à une campagne d’espionnage, envoyant vers des serveurs distants des informations extraites à partir des ordinateurs infectés. Il n’avait pas de mode de propagation autonome en tant que tel mais était déployé sur les ordinateurs grâce à une charge utile contenue dans un document Word envoyé par mail aux acteurs ciblés.

Sa méthode de déploiement était triviale, toutefois son code diffère des autres trojans habituellement rencontrés dans ce type de campagne d’espionnage. En effet, tout comme Stuxnet, ce dernier utilisait une vulnérabilité non connue propre à Windows (CVE-2011-3402 [LIEN]) permettant d’élever ses privilèges pour, ensuite, se rendre persistant sur le système ciblé ; et donc silencieux auprès des possibles antivirus installés sur la machine. Une autre particularité était frappante chez Duqu : il utilisait des certificats (chose non commune pour ce genre d’attaques) et deux clés de chiffrement identiques au célèbre Stuxnet : 0xAE790509 & 0xAE1979DD. Mais les similitudes ne s’arrêtent pas là. Ainsi, une simple comparaison des deux codes sources à l’aide du logiciel BinDiff [LIEN] nous révèle d’étranges correspondances entre les deux logiciels malveillants :

Duqu a été repéré la première fois en octobre 2011 par un laboratoire hongrois de sécurité informatique dénommé Crysys. Nous ne savons pas d’où vient l’exemplaire qu’ils ont eu entre les mains. Toutefois, il semble que l’existence de Duqu soit beaucoup plus vieille que ce mois d’octobre 2011. En effet, en début d’année, l’Iran se disait, par l’intermédiaire de son agence de presse nationale [LIEN], victime d’un malware appelé “Stars”. Cela devient intéressant quand on est au courant que Duqu utilise une image représentant deux galaxies [LIEN] comme vecteur de communication entre les ordinateurs infectés et les serveurs de contrôle… Duqu serait-il donc le malware Stars ? Cette hypothèse est plus que probable.

Mais alors, depuis combien de temps Duqu est présent dans les réseaux informatiques iraniens ? Personne ne le sait vraiment. La politique en la matière, que ce soit en Iran, en France ou dans d’autres pays, est de disséminer le moins d’informations possibles concernant une attaque. Ainsi, après la découverte tardive du malware Stars, l’Iran a préféré garder le malware bien au chaud dans ses laboratoires de recherche afin d’en étudier la complexité et prévoir une désinfection de son parc informatique gouvernemental. Il pourrait alors faire partie d’une attaque antérieure à Stuxnet ou parallèle à ce dernier, même si sa découverte officielle demeure récente.

 

Stuxnet et Duqu, œuvres de quel(s) auteur(s) ?

Ces similitudes dans les codes des deux logiciels malveillants peuvent nous amener à la question des auteurs de ces mêmes logiciels. Un faible nombre de pays est actuellement en mesure de déployer des projets de LIO et de réaliser des programmes informatiques malveillants d’une grande complexité (les attaques dites “chinoises” (APT) utilisant le plus souvent des versions modifiées de programmes connus du grand public, telles que le célèbre Poison Ivy [LIEN]). Ainsi, on retrouve principalement sur le banc des accusés liés à Duqu deux pays ayant fait parler d’eux avec l’affaire Stuxnet, les États-Unis et Israël, ayant tous deux des programmes de LIO développés.

Il est plus que probable que ces attaques soient le fruit des mêmes auteurs, le tout avec une coopération forte entre des services secrets de différents pays, alimentant le renseignement sur les cibles. Toutefois, rien ne fait pencher la balance en faveur d’un pays particulier, même si certaines pistes, présentes dans le code peuvent laisser présager une implication réelle d’Israël [LIEN]. Cette piste demeure à prendre avec des pincettes, cependant. En effet, dans le cyberespace il est toujours possible de mener des attaques informatiques lançant de fausses pistes, inscrites dans le code même du logiciel malveillant (compilation [DEF] avec une version chinoise de compilateur, par exemple) ou dans la prétendue origine d’une attaque. A ce jour, connaître les auteurs de ces attaques s’avère impossible car le secret défense est de mise, tant chez l’attaquant que chez la cible. Cependant, des fuites d’informations ou des attaques à venir pourraient nous permettre d’y voir plus clair.

Les deux cyberarmes, Duqu et Stuxnet ont étonné une grande partie des chercheurs dans ce domaine. Au delà de la simple question de la complexité de la réalisation de ces cyberarmes, l’existence même des deux malwares pose la question de la difficulté d’attribution des attaques dans le cyberespace. Mais dans tous les cas, le Rubicon semble avoir été franchi, et la cyberguerre est, aujourd’hui, une réalité.

A propos de l’auteurTravaillant pour un acteur international dans le domaine des télécommunications et autodidacte dans les domaines de la Sécurité des Systèmes d’Information et tactiques d’attaque, Félix s’est spécialisé dans les menaces émergentes liées au cybercrime et au cyberespionnage. Depuis plusieurs années, il écrit des articles sur ces thèmes, mêlant les aspects techniques et stratégiques de la sécurité.

 

Related posts

Commotion Wireless : quelles vulnérabilités ?

Intelligence Strategique

Cyberespace : guerre paradigmatique ou désinformation calculée?

Intelligence Strategique

Relations internationales et cyberstratégie : la tentation moutonnière

Intelligence Strategique

Définition et usages des Cyberarmes

Intelligence Strategique

Commotion Wireless : interview of Josh King

Intelligence Strategique

Cyberguerre : entre idéologie, pragmatisme et dogmatisme

Intelligence Strategique

Laisser un commentaire