lundi 4 octobre 2010

L'échec de la CyberGuerre

Il n'est pas besoin d'introduire le "fameux" ver Stuxnet, tant les médias (y compris généralistes) se sont gargarisés de cette attaque.

Maintenant que les souches sont disponibles sur Internet, ainsi que des analyses techniques très détaillées, il m'est possible d'avancer quelques réflexions étayées sur le sujet.

Ce ver représente l'échec flagrant de la CyberGuerre, autre sujet d'actualité s'il en est.

Tout d'abord, commençons par une assertion totalement invérifiable: ce ver ciblerait une installation nucléaire iranienne. Brillante idée. Soit il s'agit d'endommager une vanne ou une pompe - ce qui se répare en quelques jours. Soit il s'agit de provoquer l'explosion de la centrale: un nouveau Tchernobyl en quelque sorte …

Notons que d'après F-Secure, la plateforme DeepWater Horizon utilisait les mêmes équipements Siemens PLC … Il ne faut pas en tirer de conclusions hâtives, mais sachant que ce ver va tourner pendant quelques années (les clés USB étant le vecteur d'infection numéro un aujourd'hui), on peut facilement imaginer que les dommages à venir risquent d'être importants … et imprévisibles.

Un code malveillant comme Stuxnet s'apparente à une arme bactériologique: même s'il semble verrouillé sur une cible donnée, sa propagation est globalement incontrôlable, et les dommages collatéraux peuvent être largement supérieurs à l'intérêt tactique de l'attaque. Il faut avoir des testicules en titane pour lâcher une telle bombe dans la nature, et espérer que ses propres systèmes – ni ceux de ses alliés – ne seront affectés ni par le ver lui-même, ni par les failles révélées (comme le mot de passe Siemens en dur, qui ne peut toujours pas être changé).

Regardons maintenant les dommages collatéraux de Stuxnet:


Cette faille ayant été corrigée en août 2010, les systèmes Windows XP antérieurs au SP3 (ainsi que les Windows XP Embedded compilés avant cette date) resteront éternellement vulnérables à cette faille d'exécution de code depuis une clé USB.


Celle-là ne compte pas, car elle avait déjà été publiée dans le magazine Hakin9 il y a un an et demi. Il faut croire que personne au MSRC ne lit la presse "pirate" :)

  • Faille(s) d'élévation de privilèges.

Ces failles sont documentées dans les analyses techniques (et même disponibles sur étagère), mais non corrigées par Microsoft à l'heure où j'écris ces lignes. Il n'y a plus qu'à attendre les malwares qui vont les exploiter.

Bilan: les risques pour la sécurité informatique mondiale se sont durablement accrus, et la cible a été manquée. Sauf si le seul objectif de ce ver était d'augmenter les budgets alloués aux SCADA et à la CyberGuerre, bien sûr :) Bienvenue dans le mois du Cyber Awareness !