IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Symantec découvre la « version originelle » de Stuxnet Active entre 2007 et 2009 et publie son étude complète


Sujet :

Sécurité

  1. #1
    Expert éminent sénior
    Avatar de Katleen Erna
    Profil pro
    Inscrit en
    Juillet 2009
    Messages
    1 547
    Détails du profil
    Informations personnelles :
    Localisation : France, Paris (Île de France)

    Informations forums :
    Inscription : Juillet 2009
    Messages : 1 547
    Points : 76 188
    Points
    76 188
    Par défaut Symantec découvre la « version originelle » de Stuxnet Active entre 2007 et 2009 et publie son étude complète
    Stuxnet aurait préalablement été testé par les militaires d'Israël, plus de deux ans avant son lancement sur l'Iran
    Mise à jour du 17.01.2011 par Katleen


    De nouvelles informations viennent de tomber concernant Stuxnet, la bête noire de l'Iran.

    Le ver aurait ainsi été testé en secret dans une base militaire Israélienne (le complexe Dimona dans le désert de Negev) avant d'être lâché sur les infrastructure nucléaires iraniennes.

    Deux ans avant leur mise en oeuvre, les attaques auraient été simulées sur les mêmes machines que celles visées, pour garantir le succès futur de l'opération grandeur nature.

    En conséquence, des experts auraient examiné les failles des contrôleurs iraniens Siemens dès 2008. Résultat : un "autre Chernobyl" potentiel, d'après des chercheurs russes.

    En Iran, la mise en service d'une centrale près du port de Bushehr courant 2011 inquiète les gouvernements étrangers. A cause des dommages causés par Stuxnet, l'activation du réacteur pourrait être dangereuse et faire fondre tout le bâtiment. Rassurant...

    Source : Le New York Times

    L'expert iranien anti-Stuxnet assassiné
    D'après un site spécialisé Israélien

    Mise à jour du 30/11/10



    Si les fuites de Wikileaks ont permis d'en savoir un peu plus sur les nouvelles imbrications entre les relations internationales et les nouvelles technologies (dans l'affaire des attaques virtuelles contre Google), le site polémique ne possède en revanche aucun document qui permette d'éclairer la mystérieuse origine de Stuxnet, un des virus les plus complexes jamais réalisé et dont le but est, semble-t-il, de s'attaquer aux installations nucléaires iraniennes.

    La président iranien, qui a admis que Stuxnet avait en partie rempli sa mission et retardé l'évolution du programme militaire nucléaire de son pays (lire ci-avant), va à nouveau avoir l'opportunité de s'exprimer sur le sujet.

    Son expert chargé de stopper et d'éradiquer Stuxnet des infrastructures militaires vient en effet d'être assassiné.

    C'est en tout cas ce que croit savoir Debka, une publication Israélienne spécialisée dans le renseignement et les informations militaires.

    D'après ce site, le Professeur Majid Shahriari aurait été tué lors d'une fusillade depuis une voiture qui a ensuite pris la fuite. Choses troublante (une de plus), ces coups de feu se seraient produits dans une zone particulièrement sécurisée de Téhéran, zone où se situeraient plusieurs laboratoires secrets.

    La fusillade aurait, toujours d'après Debka, été accompagnée d'usage d'explosifs lancés depuis des motos.

    Mossad, CIA ou opposant internes Sunnites au régime Chiite ?

    Le régime a pour sa part immédiatement accusé les Etats-Unis et Israël (confirmant de fait l'assassinat du scientifique), mais aucune hypothèse n'est à écarter.

    Ni même celle de la désinformation pure et dure qui semble accompagner Stuxnet depuis le début de cette affaire.

    Source : Debka


    MAJ de Gordon Fowler



    Mise à jour du 29.11.2010 par Katleen
    Le Président Iranien reconnaît enfin l'impact de Stuxnet, qui a touché les infrastructures nucléaires de son pays


    L'Iran vient de retourner sa veste ! Alors qu'il y a une semaine, le vice-Président du pays niait toute interférence de Stuxnet dans son programme nucléaire, aujourd'hui le Président Mahmoud Ahmadinejad a reconnu publiquement que les infrastructures liées aux centrifugeuses de son pays ont bel et bien souffert d'une attaque numérique, lancée "par des ennemis de l'Iran" qui ont "réussi à créer des problèmes sur un nombre limité de centrifugeuses".

    L'homme tempère cependant son propos en assurant que la menace n'a eu qu'un "effet limité", et que de toutes façons, les opérations nucléaires sur son territoire ne sont qu'à but "pacifique" de création d'énergie, contrairement aux crainte des Nations Unies.

    Ne donnant aucun détail sur le "logiciel" qui a été utilisé, il indique que ses spécialistes "ont réussi à le stopper",et que ceux qui l'ont crée "ne pourront pas recommencer".

    Mais d'après les divers rapports d'experts dont nous vous avions déjà parlé précédemment, on sait que le malware était fait sur mesure, vraisemblablement par un État plutôt que par une bande de crime organisé. Ce qui a fait dire à plusieurs officiels Iraniens qu'une cyber-guerre avait été déclarée contre leur pays.

    Pour Mahmoud Ahmadinejad, ce sont les pays occidentaux et Israël qui ont fomenté ces attaques.

    Un climat international qui n'est pas du tout tendu, donc.

    Mise à jour du 23.11.2010 par Katleen
    Stuxnet n'aurait "pas réussi à accomplir sa mission" en Iran, d'après le vice-président du pays


    Le vice Président Iranien Ali Akbar Salehi, responsable du projet nucléaire "pacifique" de son pays, s'est exprimé publiquement à propos de l'affaire Stuxnet.

    Il a ainsi déclaré que le malware n'avait pas mené a bien sa mission, puisqu'il aurait été intercepté avant d'avoir atteint sa cible (à savoir des composants clé des équipements nucléaires iraniens : les contrôleurs).

    "Depuis plus d'un an, les nations de l'Ouest ont essayé d'implanter le virus dans notre environnement nucléaire afin de gêner nos activités", a-t-il déclaré, évoquant la thèse d'un complot étranger.

    Malgré ce démenti officiel, il est établit que le programme nucléaire iranien souffre d'importants retards, et que des centaines de centrifugeuses ont été mises hors service dans les centrales du pays. Ces ralentissements ont-ils été causés par Stuxnet ? Ou par des problèmes techniques ? Dur de le savoir.

    Source : Allocution d'Ali Akbar Salehi sur la télévision iranienne

    Mise à jour du 22.11.2010 par Katleen
    Des indices dans le code de Stuxnet informent sur son créateur, une équipe de 6 à 10 personnes mandatées par une nation d'après les experts


    Un chercheur travaillant pour Securicon (entreprise spécialisée dans les traces numériques ou empreintes digitales que les hackers laissent derrière eux) s'est minutieusement penché sur les entrailles de Stuxnet.

    Son analyse a ainsi révélé que le malware est constitué de plusieurs blocs distincts. L'un cible les systèmes de contrôle industriels, un autre renferme les méthodes de diffusion du ver et un dernier concerne la manière dont ses créateurs avaient prévu de dialoguer avec lui et de le contrôler.

    Autrement dit, il se pourrait qu'une partie du code puisse "parler" et fournir une piste menant à son développeur.

    En effet, le logiciel prévu pour s'en prendre aux PLCs (Programmable Logic Controllers) des centrales nucléaires. De quoi prendre le contrôle à distances de certains appareils, comme des pompes ou des moteurs.

    Pour savoir comment prendre la main sur de tels équipements, il faut en connaître un rayon sur le sujet, estime Tom Parker. Il fallait par exemple savoir quel langage de programmation a été utilisé, etc. De quoi établir une liste de suspects bien ciblée.

    Comme "les compagnies de l'Ouest ont tendance à automatiser toutes leurs productions", il est probable qu'il s'agisse là d'un indice sur la provenance du ver. Pour concevoir Stuxnet, il fallait connaître les systèmes nucléaires d'Iran et probablement y avoir accès.

    Mais l'expert de noter que cette partie est la seule à être hautement sophistiquée : "les parties liées à son implémentation dans un système, ainsi qu'à son contrôle ne sont pas si avancées que cela" comparé à d'autres malwares, déclare-t-il.

    A son avis, des pirates informatiques chevronnés n'auraient pas eu recours à des codes aussi rudimentaires pour ces deux parties (distribution et contrôle).

    Il suggère que l'assemblage du code de Stuxnet a été réalisé par une nation, plutôt que par une branche de crime organisé.

    Et pour lui, le pays derrière tout cela pourrait avoir eu un rôle à jouer dans le processus de développement de la plateforme PLC, en demandant à une nation de l'Ouest de s'en occuper, avant d'y ajouter son propre code pour les deux autres parties.

    Iran has the highest number of machines infected with Stuxnet
    Le chercheur explique que ses analyses révèlent que c'est probablement un groupe de 6 à 10 personnes est à l'origine.

    En complément de ces découvertes, des informations apportées par Symantec avancent que ce sont les contrôleurs des fréquences situées entre 807 et 1210 Hz qui étaient visés. Ces dispositifs permettent la régulation d'un moteur.
    Une telle précision montre que les cibles étaient clairement définies.

    Symantec se demande si Stuxnet a atteint son objectif, et pense que la réponse est positive, puisqu'aucune variante du malware n'a été observée.

    Mais Tom Parker remarque que le logiciel malveillant n'a pas survécu aussi longtemps que l'auraient espéré leurs créateurs.

    Sa neutralisation par les firmes de solution antivirus a du en faire fulminer plus d'un, puisque de ce fait, l'énorme investissement placé dans Stuxnet n'est plus utilisable. Dommage. Ou pas.

    Sources : Securicon, Symantec

    Stuxnet renfermerait une allusion biblique
    Des experts suspectent fortement Israël d'être l'auteur du ver

    Mise à jour du 01/10/10


    Jusqu'ici, le très complexe ver Stuxnet donnait plus dans le registre des films d'espionnage.
    Son but principal étant, visiblement, de pénétrer les infrastructures industrielles Iraniennes (et Chinoises).

    Mais avec la « découverte » de plusieurs experts en sécurité, Stuxnet plonge également en plein Da Vinci Code.

    D'après les experts en question, le code du ver comporterait un fichier nommé Myrtus (en français : l'arbre de Myrte). Un nom très inhabituel et surtout hautement symbolique dans le culture biblique.

    Symbole de paix et d'espoir de jours meilleurs (« Au lieu du buisson croîtra le sapin et au lieu de l'épine croîtra le Myrte ; et cela rendra glorieux le nom de l'Éternel et sera un signe perpétuel, qui ne sera jamais retranché »), le Myrte est aussi symbole de justice dans l'Ancien Testament.

    C'est sur cette dernière interprétation que s'arrêtent les tenants de cette thèse de la référence biblique. Une thèse rapportée dans le très sérieux New York Times. Pour eux, ce nom de fichier serait ouvertement une allusion au Livre d'Esther (et donc à la Torah).

    Livre d'Esther où il y est dit : « Elle s'appelait Hadassah parce qu'elle était juste et que l'on compare au Myrte ceux qui aiment la justice». Hadassah est l'un des noms de la reine Esther et signifie en hébreux : Myrte.

    Or ce Livre raconte comment, sous la direction de la reine Hadassah donc, le peuple juif déjoua des attaques Perses destinées à l'anéantir.

    On voit immédiatement l'auteur du ver désigné par cette thèse.

    Farfelu ? Tiré par les cheveux ? Réel indice de la provenance du ver ?

    Les supputations vont bon train. Toujours est-il que ce fichier est bel et bien présent dans le code. Mais il pourrait aussi bien « faire partie d'un jeu d'esprit [que] montrer la négligence ou bien la fantaisie des codeurs » constate le journal.

    Des développeurs Israéliens auraient-ils eu la négligence de laisser de tels indices derrière eux ? Ou s'agit-il d'une diversion pré-étudiée pour diriger les soupçons vers un pays dont les services secrets sont bien-connus ?

    Les preuves sont légères pour répondre à ces questions, voire inexistantes.

    De son coté, et sans surprise, le gouvernement Israélien dément toute implication dans cette cyber-attaque.

    Sur le ver en lui-même on sait toujours assez peu de choses. On suppose que la première version du ver est apparue en 2009, puis qu'elle a été modifiée début 2010. Par qui ? Encore une question.

    L'origine de Stuxnet ? Mystère également.

    Et l'on risque de ne pas en savoir beaucoup plus. « Lors d'entretiens dans plusieurs pays, les experts en cyber-guerre et en technologie nucléaire disent que le mystère Stuxnet pourrait ne jamais être résolu ».

    Un rébus enveloppé de mystère au sein d'une énigme, pourrait-on dire pour paraphraser Winston Churchill, experts parmi les experts des relations internationales et de l'espionnage.

    Source : Article du New York Times

    MAJ de Gordon Fowler



    Le virus Stuxnet, d'une "complexité sans précédent" : il attaque les infrastructures industrielles de l'Iran qui évoque une "guerre électronique"

    Stuxnet. Ce nom s'est répandu comme une traînée de poudre sur le monde en l'espace de quelques jours, depuis que des rapports plus alarmistes les uns que les autres ont été diffusés à son sujet par des experts et des firmes, spécialisés en sécurité informatique.

    Cette menace informatique, simple malware pour les uns, maliciel d'infiltration terroriste pour les autres, sème la panique en Iran. Il est « d'une complexité sans précédent » et « n'est pas le travail d'un petit hacker », prévient Laurent Heslault, un cadre haut placé chez Symantec.

    Il vise les systèmes informatiques industriels de l'Iran, où il a déjà infecté plus de 30.000 ordinateurs.

    Découvert en juin 2010 par une équipe biélorusse, Stuxnet est en fait un cheval de Troie très sophistiqué qui s'attaque à une vulnérabilité de Windows Shell pour prendre grâce à cela le contrôle du système SCADA (qui permet de contrôler les automatismes, les robots, la distribution d'électricité, etc. d'un site stratégique visé -usine, centrale électrique, etc.-) qui est composé d' applications industrielles signées Siemens (produits WinCC-PCS7).

    La contamination a vraisemblablement débuté par des introductions via clés USB, puisque le SCADA est un réseau interne et fermé, qui n'est pas connecté à la Toile.

    Une fois en place, le virus utilise pas moins de 4 exploits zero-day, fait rare dans le hacking.

    "C'est sans précédent: on n'avait jamais vu quelque chose comme ça sur la qualité du développement. Ce maliciel est 10 à 20 fois plus gros que les autres, il y a énormément de programmes dedans, de codes, on en découvre encore quasiment chaque jour. On estime le temps de développement à l'équivalent de 6 à 10 personnes sur 6 ou 9 mois, au minimum.
    Ce qui est impressionnant, c'est le niveau de sophistication qui a été mis dans le développement très professionnel et l'utilisation de vulnérabilités zero day, c'est à dire qui n'ont jamais été détectées avant. Ils ont été jusqu'à voler des certificats d'une compagnie de software taïwanaise pour faire en sorte que leur maliciel soit signé et n'ait pas l'air malveillant. C'est du jamais vu.
    Ce n'est pas du tout le travail du petit hacker dans sa cave. On est même largement au dessus du gang de cybercriminels classique", s'étonne Symantec.

    Beaucoup de mystère enveloppe Stuxnet. Personne ne sait vraiment d'où il vient, et qui l'a crée. D'autant que la mise au point d'un malware d'un si haut niveau nécessite un investissement financier de plusieurs millions d'euros. Qui pourrait se le permettre, et qui voudrait nuire à l'Iran ?

    D'ailleurs, pourquoi un tel acharnement sur l'Iran, dont le ministre de l'Industrie a même déclaré : « Une guerre électronique a été lancée contre l'Iran» ?

    Les pays s'opposant à sa nucléarisation sont légion. Mais c'est une autre histoire...

    Source : L'agence de presse iranienne ISNA

    A lire aussi :
    Un expert en sécurité informatique d'IBM avait déjà réussi le tour de force de prendre le contrôle d'un système SCADA, en 2007 (en anglais)

  2. #2
    Membre régulier
    Inscrit en
    Septembre 2010
    Messages
    78
    Détails du profil
    Informations forums :
    Inscription : Septembre 2010
    Messages : 78
    Points : 113
    Points
    113
    Par défaut
    J'ai du mal à me rendre compte quand on parle de "millions d'euro". Il s'agit de dépense pour la main d'oeuvre, mais aussi pour obtenir des plans d'architecture ? des certificats ? ... ?

  3. #3
    Membre à l'essai
    Inscrit en
    Septembre 2009
    Messages
    21
    Détails du profil
    Informations forums :
    Inscription : Septembre 2009
    Messages : 21
    Points : 24
    Points
    24
    Par défaut
    D'ou ça vient ?

    La réponse est dans la question qui suit : Qui veut nuire à l'Iran ?

    Pas trop difficile à trouver ..

  4. #4
    ILP
    ILP est déconnecté
    Membre confirmé
    Avatar de ILP
    Homme Profil pro
    Analyste programmeur
    Inscrit en
    Mai 2002
    Messages
    258
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 38
    Localisation : France, Finistère (Bretagne)

    Informations professionnelles :
    Activité : Analyste programmeur
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Mai 2002
    Messages : 258
    Points : 607
    Points
    607
    Par défaut
    Ce n'est pas le premier cheval de Troie ciblant une infrastructure particulière. Mais celui-là a l'air assez complexe pour pouvoir fonctionner en autarcie.
    L'Iran doit forcément avoir des espions pour fournir des informations sur leurs systèmes nucléaires.

  5. #5
    Membre averti Avatar de demenvil
    Homme Profil pro
    Analyste développeur
    Inscrit en
    Avril 2009
    Messages
    195
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 34
    Localisation : France, Bouches du Rhône (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Analyste développeur
    Secteur : Finance

    Informations forums :
    Inscription : Avril 2009
    Messages : 195
    Points : 389
    Points
    389
    Par défaut
    Moi je trouve ça impresionnant... De faire naître quelque chose de si sophistiqué et rapide
    Puis c'est que là on parle de milions.. donc c'est clair qu'ils en veulent vraiment à l'Iran..
    comme le dit Makav3li on se demande bien qui
    A+

  6. #6
    Modérateur
    Avatar de sevyc64
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Janvier 2007
    Messages
    10 188
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 51
    Localisation : France, Pyrénées Atlantiques (Aquitaine)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : Janvier 2007
    Messages : 10 188
    Points : 28 051
    Points
    28 051
    Par défaut
    ENCORE !!!!!

    Cette information est déjà sortie, il y a plusieurs semaines

    Elle est ressortie d'on-sait-où, ici même, hier.

    Elle ressort encore aujourd'hui sans rien apporter de nouveau par rapport à la première sortie.


    Au passage :
    puisque le SCADA est un réseau interne et fermé, qui n'est pas connecté à la Toile.
    SCADA n'est en rien un réseau interne et fermé. Ce n'est même pas un réseau.
    C'est un ensemble de librairies, modules, logiciels permettant de faire de la surveillance et du pilotage centralisé d'installations industrielles.
    Ce pilotage pouvant se faire par toute sorte de réseaux propriétaires comme MPI, PROFIBUS, par liaison séries, par voie Ethernet en TCP/IP donc en réseau local Intranet mais aussi par Internet.

    Cette technologie est utilisée par quasiment la totalité des acteurs de l'automatisme industriel


    Mais ici, dans le cas précis, c'est plus particulièrement les outils de SIEMENS qui sont visés.
    --- Sevyc64 ---

    Parce que le partage est notre force, la connaissance sera notre victoire

  7. #7
    Membre expérimenté Avatar de Firwen
    Profil pro
    Inscrit en
    Juin 2009
    Messages
    472
    Détails du profil
    Informations personnelles :
    Localisation : Suisse

    Informations forums :
    Inscription : Juin 2009
    Messages : 472
    Points : 1 587
    Points
    1 587
    Par défaut
    Sans vouloir lancer de polémique, une chose qui m'a toujours étonné en supervision industriel : pourquoi Windows ?

    Sérieusement, ce sont des terminaux qui doivent être à la fois robustes et spécialisés.

    Qu'est-ce que vient foutre un OS Microsoft edition pro ( pour ceux que j'ai connu ) sur ça ? Pour le plaisir de ramasser le premier virus venu sur clé USB ?
    It's not a bug, it's a feature

  8. #8
    Modérateur
    Avatar de sevyc64
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Janvier 2007
    Messages
    10 188
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 51
    Localisation : France, Pyrénées Atlantiques (Aquitaine)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : Janvier 2007
    Messages : 10 188
    Points : 28 051
    Points
    28 051
    Par défaut
    Sans vouloir lancer de polémique, une chose qui m'a toujours étonné en supervision industriel : pourquoi Windows ?

    Sérieusement, ce sont des terminaux qui doivent être à la fois robustes et spécialisés.

    Qu'est-ce que vient foutre un OS Microsoft edition pro ( pour ceux que j'ai connu ) sur ça ? Pour le plaisir de ramasser le premier virus venu sur clé USB ?
    Ben, le problème est de trouver des outils de développement et logiciels qui vont bien sur d'autres OS.

    MAC n'est pas très fréquent dans le milieu industriel (sur ce genre d'appareil en tout cas).

    LINUX est très très jeune par rapport à ce genre d'applications dont les premières datent des années 60-70 avant même que le PC existe.

    Dans les années 80-90, DOS et Windows s'étant démocratisé en l'absence de véritables alternatives, c'est naturellement et historiquement sur cet OS que fonctionnent les logiciels de supervision.


    Et choisir un autre OS que Windows ne signifie pas se mettre définitivement à l'abri des virus, et dans le cas présent, n'aurait très certainement pas plus protégé.
    --- Sevyc64 ---

    Parce que le partage est notre force, la connaissance sera notre victoire

  9. #9
    atb
    atb est déconnecté
    Membre éprouvé

    Homme Profil pro
    Inscrit en
    Novembre 2004
    Messages
    639
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 40
    Localisation : Autre

    Informations forums :
    Inscription : Novembre 2004
    Messages : 639
    Points : 929
    Points
    929
    Par défaut
    Qu'est-ce que vient foutre un OS Microsoft edition pro ( pour ceux que j'ai connu ) sur ça ? Pour le plaisir de ramasser le premier virus venu sur clé USB ?
    Y en a qui aime ça, se faire fouetter par des virus

    Non, mais sans photo. Pour mettre ce genre d’attaque :

    Il faut une connaissance approfondie de ces systèmes.
    De sortir quelques failles, gardées bien au chaud, jamais découvertes, où cas ou.
    Le virus n’a touché principalement que ces pays !
    Cela coïncide avec les déclarations des U.S pour former leur armée numérique,…

    A mon avis, ce n’est pas un hackers depuis sa planque qui peut lancer une telle attaque

  10. #10
    Membre expérimenté Avatar de Firwen
    Profil pro
    Inscrit en
    Juin 2009
    Messages
    472
    Détails du profil
    Informations personnelles :
    Localisation : Suisse

    Informations forums :
    Inscription : Juin 2009
    Messages : 472
    Points : 1 587
    Points
    1 587
    Par défaut
    Et choisir un autre OS que Windows ne signifie pas se mettre définitivement à l'abri des virus, et dans le cas présent, n'aurait très certainement pas plus protéger.
    oui, changer de plateforme n'aurait surement pas empeché l'organisation qui a developpé un monstre pareil d'arriver à ses fins.
    Mais ça leur aurait surement compliqué la tache.
    Je ne compte meme plus le nombre de saletés qui pullulent sur clé USB profitant de l'auto-execution Windows et de quelques failles non patchées.
    Sans parler du fait que cibler une architecture hétérogene avec un malware est nettement plus compliqué.
    It's not a bug, it's a feature

  11. #11
    Membre régulier Avatar de tenebriox
    Profil pro
    Inscrit en
    Juin 2009
    Messages
    88
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Juin 2009
    Messages : 88
    Points : 119
    Points
    119
    Par défaut
    Citation Envoyé par Katleen Erna Voir le message
    La contamination a vraisemblablement débuté par des introductions via clés USB
    Sur un PC industriel, on désactive les ports USB, la connexion à Internet, on met un autologon sur un user qui n'a aucun droit et on lance le logiciel de supervision directement, ne laissant ainsi aucun accès à qui que ce soit, à part sur le logiciel de supervision, donc je ne pense pas que la contamination ait démarrée par là, à moins d'une configuration peu soucieuse du PC industriel

  12. #12
    Membre habitué
    Profil pro
    Inscrit en
    Octobre 2009
    Messages
    73
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Octobre 2009
    Messages : 73
    Points : 179
    Points
    179
    Par défaut
    Citation Envoyé par Katleen Erna Voir le message
    On estime le temps de développement à l'équivalent de 6 à 10 personnes sur 6 ou 9 mois, au minimum.
    D'autant que la mise au point d'un malware d'un si haut niveau nécessite un investissement financier de plusieurs millions d'euros.
    On va être gentil, on suppose que "plusieurs" = 2.

    2 000 000 / (10*9) = 22 222 euros/mois
    2 000 000/ (6*6) = 55 555 euros/mois

    Entre 22 000 et 55 000 euros bruts mensuels pour chaque développeur, sympa comme job. Ils auraient pas abusé sur le pastis pour chiffrer la "bête" ?

    Source : L'agence de presse iranienne ISNA
    Ah nous voilà rassurés, on voit très bien que la source est fiable et totalement indépendante.

    Quand l'Iran arrêtera de nous jouer l' "Empire contre attaque" à la moindre occasion (cf Clotilde Reiss) et quand les média feront preuve d'un minimum d'esprit critique et de professionnalisme, alors peut être que je croirais à ce genre de révélations fracassantes.

  13. #13
    Rédacteur/Modérateur
    Avatar de andry.aime
    Homme Profil pro
    Inscrit en
    Septembre 2007
    Messages
    8 391
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Ile Maurice

    Informations forums :
    Inscription : Septembre 2007
    Messages : 8 391
    Points : 15 059
    Points
    15 059
    Par défaut
    La contamination a vraisemblablement débuté par des introductions via clés USB
    Je travaille dans un SSII, les ports USB sont désactivés pour éviter ce genre de problème, les mails de l'externes sont bloqués, ... Pourquoi pas pour ce SCADA

  14. #14
    Nouveau membre du Club
    Profil pro
    Inscrit en
    Février 2009
    Messages
    21
    Détails du profil
    Informations personnelles :
    Localisation : Suisse

    Informations forums :
    Inscription : Février 2009
    Messages : 21
    Points : 32
    Points
    32
    Par défaut
    que ce soit windows ou linux ... pour l'équipe qui a développé ce virus, je ne pense pas que ce soit un gros problème ...
    4 zero days ... quand même

  15. #15
    Membre confirmé
    Inscrit en
    Octobre 2007
    Messages
    210
    Détails du profil
    Informations forums :
    Inscription : Octobre 2007
    Messages : 210
    Points : 459
    Points
    459
    Par défaut
    C'est clairement un virus de technologie militaire, donc on ne peut pas "simplement" affirmer qu'il faudrait fermer les ports USB ...

    Cela pourrait être une démonstration de force du US Cyber Command à la veille de son lancement, pour appuyer une augmentation de budget ...
    http://en.wikipedia.org/wiki/United_..._Cyber_Command

  16. #16
    Membre éclairé
    Profil pro
    Inscrit en
    Mars 2010
    Messages
    549
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Mars 2010
    Messages : 549
    Points : 704
    Points
    704
    Par défaut
    Citation Envoyé par sevyc64 Voir le message
    Ben, le problème est de trouver des outils de développement et logiciels qui vont bien sur d'autres OS.

    MAC n'est pas très fréquent dans le milieu industriel (sur ce genre d'appareil en tout cas).

    LINUX est très très jeune par rapport à ce genre d'applications dont les premières datent des années 60-70 avant même que le PC existe.

    Dans les années 80-90, DOS et Windows s'étant démocratisés en l'absence de véritables alternatives, c'est naturellement et historiquement sur cet OS que fonctionnent les logiciels de supervision.


    Et choisir un autre OS que Windows ne signifie pas se mettre définitivement à l'abri des virus, et dans le cas présent, n'aurait très certainement pas plus protégé.
    Ce genre d'outils se trouve sous linux et unix j'ai travaillé dans quelques usines qui en utilisait

    après reste à voir qui a fait ce choix... vraiment réfléchi?

    pas à l'abri des virus, mais habituellement tu as besoins d'avoir beaucoup moins de droit sous linux/unix que sous win
    tu élimines ainsi beaucoup de problème

  17. #17
    Membre éclairé
    Profil pro
    Inscrit en
    Mars 2010
    Messages
    549
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Mars 2010
    Messages : 549
    Points : 704
    Points
    704
    Par défaut
    Citation Envoyé par bugsan Voir le message
    C'est clairement un virus de technologie militaire, donc on ne peut pas "simplement" affirmer qu'il faudrait fermer les ports USB ...

    Cela pourrait être une démonstration de force du US Cyber Command à la veille de son lancement, pour appuyer une augmentation de budget ...
    http://en.wikipedia.org/wiki/United_..._Cyber_Command
    très possible
    en même temps les usa ne sont pas à l'abri d'attaque d'ailleurs le passé l'a bien démontré...

  18. #18
    Modérateur
    Avatar de sevyc64
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Janvier 2007
    Messages
    10 188
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 51
    Localisation : France, Pyrénées Atlantiques (Aquitaine)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : Janvier 2007
    Messages : 10 188
    Points : 28 051
    Points
    28 051
    Par défaut
    Ce genre d'outils se trouve sous linux et unix j'ai travaillé dans quelques usines qui en utilisait
    Du temps ou je travaillais dans ce milieu, il y a plus de 5 ans, il était très difficile d'obtenir des outils sous Linux. Les principaux acteurs (dont Siemens) n'en faisaient pas, ou alors en développement spécifique avec des temps de livraisons et des coups exorbitants.

    après reste à voir qui a fait ce choix... vraiment réfléchi?
    Ben pour beaucoup de cas que je connais(ais) les choix remontaient à plusieurs années, donc justement il n'y avait pas trop de choix justement.

    Sur un PC industriel, on désactive les ports USB, la connexion à Internet
    Ben non justement, le port USB est parfois souvent le seul moyen de pouvoir acceder à la machine notamment sur certaines qui ne sont pas équipées de lecteur de cd.
    Et beaucoup de ces machines sont reliées à l'intranet car elles fonctionnent en réseau (il n'y a jamais un seul poste de supervision, il y en a toujours au moins 2 voire 3 et si possible dans des locaux différents). Et pour peu que cet intranet ne soit pas dédié et que l'accès à internet ne soit pas sécurisé dans l'entreprise...
    D'ailleurs certaines de ces machines sont explicitement reliées à Internet quand la supervision se fait à distance ou ne serait-ce que pour des questions de télémaintenance.

    L'agence de presse iranienne ISNA

    Ah nous voilà rassurés, on voit très bien que la source est fiable et totalement indépendante.
    En réalité l'attaque est partie d'Inde et de Corée du Sud courant Mars. Mais elle a été médiatisée seulement lorsqu'elle s'est clairement bien développée mais apparement uniquement en Iran en Juin.

    Il y aurait quelques cas dans d'autres pays, mais c'est semble-t-il l'Iran qui est très largement le plus touché. Bien que la quantification de l'attaque est plus que flou (et peut-être surestimée selon certaines rumeurs)
    --- Sevyc64 ---

    Parce que le partage est notre force, la connaissance sera notre victoire

  19. #19
    Membre éprouvé

    Homme Profil pro
    Directeur des systèmes d'information
    Inscrit en
    Septembre 2010
    Messages
    450
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Val d'Oise (Île de France)

    Informations professionnelles :
    Activité : Directeur des systèmes d'information

    Informations forums :
    Inscription : Septembre 2010
    Messages : 450
    Points : 1 073
    Points
    1 073
    Par défaut
    Sans vouloir lancer de polémique, une chose qui m'a toujours étonné en supervision industriel : pourquoi Windows ?

    Sérieusement, ce sont des terminaux qui doivent être à la fois robustes et spécialisés.

    Qu'est-ce que vient foutre un OS Microsoft edition pro ( pour ceux que j'ai connu ) sur ça ? Pour le plaisir de ramasser le premier virus venu sur clé USB ?
    En fait, des failles, donc potentiellement des virus exploitant ces failles, existent sur toutes les plates formes.

    Si tu veux des attaques sur système Linux, j'ai en vrac:
    - Les vulnérabilités de la JVM et du greffon Flash, qui sont multiplateforme
    http://www.certa.ssi.gouv.fr/site/CE...0-ALE-015.html
    http://www.certa.ssi.gouv.fr/site/CE...0-AVI-152.html
    - Les vulnérabilités de OpenSSH:
    http://www.certa.ssi.gouv.fr/site/CE...5-AVI-329.html
    http://www.certa.ssi.gouv.fr/site/CE...6-AVI-067.html
    - les exploits root sur le noyau:
    http://www.certa.ssi.gouv.fr/site/CE...4-AVI-409.html
    http://www.certa.ssi.gouv.fr/site/CE...7-AVI-416.html
    http://www.certa.ssi.gouv.fr/site/CE...8-AVI-067.html
    http://www.certa.ssi.gouv.fr/site/CE...9-AVI-153.html

    Je te laisse chercher "mac" avec l'outil suivant:
    http://www.certa.ssi.gouv.fr/cgi-bin/recherche
    Tu peux même essayer "OpenBSD", qui est le système réputé parmi les plus surs en informatique.
    Si vous moinsez, merci de répondre pour argumenter!
    Ma présentation

  20. #20
    Membre chevronné

    Homme Profil pro
    Développeur .NET
    Inscrit en
    Juillet 2009
    Messages
    966
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 37
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : Développeur .NET

    Informations forums :
    Inscription : Juillet 2009
    Messages : 966
    Points : 2 078
    Points
    2 078
    Par défaut
    Citation Envoyé par sevyc64 Voir le message
    Du temps ou je travaillais dans ce milieu, il y a plus de 5 ans, il était très difficile d'obtenir des outils sous Linux. Les principaux acteurs (dont Siemens) n'en faisaient pas, ou alors en développement spécifique avec des temps de livraisons et des coups exorbitants.
    Si ça peut te rassurer c'est toujours le cas!
    D'ailleurs, même les produits Siemens sous windows sont pas donnée aussi...

    Citation Envoyé par sevyc64 Voir le message
    Ben non justement, le port USB est parfois souvent le seul moyen de pouvoir acceder à la machine notamment sur certaines qui ne sont pas équipées de lecteur de cd.
    Et beaucoup de ces machines sont reliées à l'intranet car elles fonctionnent en réseau (il n'y a jamais un seul poste de supervision, il y en a toujours au moins 2 voire 3 et si possible dans des locaux différents). Et pour peu que cet intranet ne soit pas dédié et que l'accès à internet ne soit pas sécurisé dans l'entreprise...
    D'ailleurs certaines de ces machines sont explicitement reliée à Internet quand la supervision se fait à distance ou ne serait-ce que pour des questions de télémaintenance.
    Sa peut changer énormément d'une entreprise a l'autre selon ses besoins et sa "politique".
    C'est d'ailleurs sur se point que je trouve ce virus assez hallucinant, car il est capable d'attaquer des systèmes qui sont potentiellement très diffèrents les un des autres avec comme seul point commun des OS windows et des outils Siemens...
    un jour, quelqu'un a dit quelque chose...

Discussions similaires

  1. Symantec pense avoir repéré un nouveau Stuxnet
    Par Gordon Fowler dans le forum Actualités
    Réponses: 19
    Dernier message: 13/11/2011, 16h16
  2. Réponses: 191
    Dernier message: 17/01/2011, 23h20
  3. Réponses: 54
    Dernier message: 29/09/2010, 10h06
  4. Réponses: 65
    Dernier message: 31/12/2007, 19h14
  5. Liaison inter-active entre tables
    Par fixouille90 dans le forum Access
    Réponses: 5
    Dernier message: 06/12/2005, 10h23

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo