lundi 4 octobre 2010

L'échec de la CyberGuerre

Il n'est pas besoin d'introduire le "fameux" ver Stuxnet, tant les médias (y compris généralistes) se sont gargarisés de cette attaque.

Maintenant que les souches sont disponibles sur Internet, ainsi que des analyses techniques très détaillées, il m'est possible d'avancer quelques réflexions étayées sur le sujet.

Ce ver représente l'échec flagrant de la CyberGuerre, autre sujet d'actualité s'il en est.

Tout d'abord, commençons par une assertion totalement invérifiable: ce ver ciblerait une installation nucléaire iranienne. Brillante idée. Soit il s'agit d'endommager une vanne ou une pompe - ce qui se répare en quelques jours. Soit il s'agit de provoquer l'explosion de la centrale: un nouveau Tchernobyl en quelque sorte …

Notons que d'après F-Secure, la plateforme DeepWater Horizon utilisait les mêmes équipements Siemens PLC … Il ne faut pas en tirer de conclusions hâtives, mais sachant que ce ver va tourner pendant quelques années (les clés USB étant le vecteur d'infection numéro un aujourd'hui), on peut facilement imaginer que les dommages à venir risquent d'être importants … et imprévisibles.

Un code malveillant comme Stuxnet s'apparente à une arme bactériologique: même s'il semble verrouillé sur une cible donnée, sa propagation est globalement incontrôlable, et les dommages collatéraux peuvent être largement supérieurs à l'intérêt tactique de l'attaque. Il faut avoir des testicules en titane pour lâcher une telle bombe dans la nature, et espérer que ses propres systèmes – ni ceux de ses alliés – ne seront affectés ni par le ver lui-même, ni par les failles révélées (comme le mot de passe Siemens en dur, qui ne peut toujours pas être changé).

Regardons maintenant les dommages collatéraux de Stuxnet:


Cette faille ayant été corrigée en août 2010, les systèmes Windows XP antérieurs au SP3 (ainsi que les Windows XP Embedded compilés avant cette date) resteront éternellement vulnérables à cette faille d'exécution de code depuis une clé USB.


Celle-là ne compte pas, car elle avait déjà été publiée dans le magazine Hakin9 il y a un an et demi. Il faut croire que personne au MSRC ne lit la presse "pirate" :)

  • Faille(s) d'élévation de privilèges.

Ces failles sont documentées dans les analyses techniques (et même disponibles sur étagère), mais non corrigées par Microsoft à l'heure où j'écris ces lignes. Il n'y a plus qu'à attendre les malwares qui vont les exploiter.

Bilan: les risques pour la sécurité informatique mondiale se sont durablement accrus, et la cible a été manquée. Sauf si le seul objectif de ce ver était d'augmenter les budgets alloués aux SCADA et à la CyberGuerre, bien sûr :) Bienvenue dans le mois du Cyber Awareness !

11 commentaires:

Anonyme a dit…

Je suis en total désaccord avec votre conclusion selon laquelle cette cyberguerre serait un échec, et ce pour plusieurs raisons:

1- Vous affirmez que la cible a été manquée... Rien ne peut permettre d'affirmer cela, dans la mesure ou personne aujourd'hui n'est en mesure de dire quelle était justement la cible visée... Quelle était cette cible ? Dans quel état se trouve-t-elle ? Personne à part les auteurs du ver et les responsables de la cible (qui ont tout intérêt à masquer les éventuels dégâts) ne peut répondre à ces questions.

Deux choses à signaler:
- Vous dites que l'explosion de la centrale aurait provoqué un Tchernobyl. C'est faux. La centrale a été achevée il y a peu et n'a toujours pas été lancée. Les Iraniens en sont encore à la remplir de barres d'uranium, une explosion aurait généré peu de dégâts.
- Il y a un mois, les Iraniens ont eu des problèmes sur deux de leurs sites nucléaires. Le premier sur la centrale de Bushehr (officiellement en raison d'une hausse des températures locales, ce que les stations météo démentent), le deuxième à Natanz, le site contenant les centrifugeuses.
Ces deux incidents pourraient (ce ne sont évidemment que des hypothèses) être liés à Stuxnet.

2- Dans cette guerre, vous omettez l'aspect psychologique. En admettant que les Israeliens ou les Américains aient lancé ce ver à destination de l'Iran et qu'il ait effectivement raté sa cible (ce qui reste à prouver), le seul fait d'avoir lancé une telle attaque et d'avoir crée la panique chez les ingénieurs Iraniens (qui en fin de semaine dernière ont contacté des experts européens pour leur demander de l'aide) est en soi une réussite. Les Américains/Israeliens viennent d'affirmer leur puissance technologique et leur capacité à frapper l'Iran sur un terrain inattendu et potentiellement dévastateur, et sur lequel l'Iran semble totalement vulnérable.

Ce n'est que mon avis, et ce que je dis là n'aura évidemment aucun sens si on apprend plus tard que l'Iran n'était finalement pas la cible :p

Anonyme a dit…

l'échec flagrant de la CyberGuerre
:-D

legben a dit…

"Ce ver représente l'échec flagrant de la CyberGuerre, ...". Il me semble que c'est exactement le contraire, même si Stuxnet représente simplement un test ou une répétition à échelle réelle, il faut être conscient qu'il n'y a pas de charge utile. J'entends par charge utile la MAJ d'une EPROM ou d'un firmware dont la réparation nécessiterait le changement des machines sur en effet « quelques jours ». Si ce type d’indisponibilité n’est pas un acte de guerre, il est une cyberattaque bien réelle AMHA.
Ce n'est pas encore le Big One, certes !

newsoft a dit…

Merci pour ces commentaires pertinents.

En ce qui concerne les objectifs de ce ver, et compte-tenu du niveau de propagande et de désinformation autour de cet évènement, je vous accorde qu'on ne les connaîtra probablement jamais - il sera donc difficile de vérifier s'ils ont été atteints.

Néanmoins je pense que nous sommes d'accord sur le fait qu'il s'agit plus d'une "preuve de concept" que d'un ver capable de changer le cours de l'histoire en Iran. Cela fait des dizaines d'années que le programme iranien est lancé, quelques mois de retard ne vont pas changer grand'chose.

Il me semble surtout que d'avoir conféré une capacité de propagation non maîtrisée à ce ver peut s'avérer extrêmement dangereux. Un sabotage traditionnel aurait été tout aussi efficace. De mémoire, des imprimantes "backdoorées" avaient été livrées à des pays du Golfe il y a quelques temps (peut-être en Iraq ? Je n'en retrouve plus trace dans Google). Pourquoi est-ce que Siemens n'a pas directement livré des équipements défectueux ?

Mais surtout le point essentiel à mon sens: arrêtons de parler de CyberGuerre à chaque fois qu'une attaque informatique est réussie ! Chaque année depuis des décennies, le Pentagone est victime d'intrusions informatiques très sévères. Il y a un an et demi, une bonne partie des données liées au programme Joint Strike Fighter "fuitait" à l'extérieur.

StuxNet est une évolution naturelle des techniques d'espionnage et de sabotage, dans un monde où tout est informatisé. Dès que les microfilms ne sont plus utilisés, j'ai l'impression qu'il est de bon ton d'accoler le mot "Cyber-" !

En 2005, j'avais travaillé sur une preuve de concept similaire capable d'infecter le firmware des *box ADSL les plus populaires et d'éteindre une bonne partie de l'Internet français. A l'époque on appelait pas ça de la CyberGuerre (bien qu'il existe une dépendance non négligeable entre le bon fonctionnement de l'Etat et celui des Livebox ;), mais du bon vieux "piratage" !

Nico F a dit…

Tant pis pour la pub, mais notre analyse technique est plus pointue que celle d'ESET :)
http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/w32_stuxnet_dossier.pdf

Nico a dit…

"Il me semble surtout que d'avoir conféré une capacité de propagation non maîtrisée à ce ver peut s'avérer extrêmement dangereux."

Oui. La premiere version du worm, en Juin 2009, n'avait pas tous les 0-day que contient la seconde version de Mars 2010 (notamment l'exploit LNK pour propagation rapide).
La premiere version ne s'est donc pas propagee comme l'esperait ses auteurs, et n'a pas atteint sa cible. D'ou une deuxieme version bourree de 0-days, et difficilement controlable.. Malgre tout, les auteurs ont mis au point un mecanisme basique pour limiter la propagation via clef USB (la meme clef ne peut infecter qu'au maximum 3 cibles). Quel aurait ete le nombre d'infections supplementaires sans cela?

La deuxieme version a t-elle atteint son objectif? Mystere... Peut-etre la reponse dans 80 ans, dans des archives declassifiees...

newsoft a dit…

@NicoF: je serais un éditeur antivirus, je ne la ramènerais pas trop ;)

Aucun antivirus ne s'est avéré capable de bloquer une exécution de code automatique à l'insertion d'une clé USB, il me semble. Alors que c'est un comportement hautement suspect dans tous les cas (hors fichier AutoRun), qui devrait être interdit par une heuristique simple !

Nico a dit…

J'ai dit, "notre analyse est plus pointue", ni plus ni moins :)

VladK a dit…

Tant que la cible et la source n'ont pas été identifiées, on ne peut que spéculer.

Nicolas, fais-tu parti des 7 auteurs potentiels restants ? ;-)
http://www.langner.com/en/
Je trouve le nombre de 10 très réducteur mais ca fait sensation vis à vis de la presse. (idem pour le mystère à la "Third Man")

VladK a dit…

Ralph Langner a une notion assez personnelle de la communication, j'adore sa lettre ouverte à Symantec (maj du 11/10/2010) :
http://www.langner.com/en/

Alors... Head Shot ou pas ?

VladK a dit…

Un grand et beau "cocorico" pour les français. Nous sommes cités comme auteur potentiel de Stuxnet parmi les grands (USA, Chine, Russie, Allemagne, Israël et Angleterre)
http://www.langner.com/english/?p=431
ps : un double "cocorico" pour moi, rapport à mes origines ;-D