IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Sécurité : la trace du ver Stuxnet retrouvée


Sujet :

Sécurité

  1. #1
    Expert éminent sénior

    Homme Profil pro
    Responsable de service informatique
    Inscrit en
    Septembre 2014
    Messages
    194
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Responsable de service informatique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Septembre 2014
    Messages : 194
    Points : 11 924
    Points
    11 924
    Par défaut Sécurité : la trace du ver Stuxnet retrouvée
    Sécurité : la trace du ver Stuxnet retrouvée
    Selon l’analyse, le malware aurait été propagé pour toucher la base iranienne Natanz

    Kim Zetter a publié mardi dernier un livre intitulé « Countdown to Zero Day », sur la couverture duquel on peut lire la phrase : « Stuxnet et le lancement de la première arme numérique ». Dans ce livre, la journaliste américaine présente des informations détaillées sur le parcours du ver informatique Stuxnet et l’objectif dans lequel il a été créé.

    Contrairement à un article du New York Times rédigé en 2012 par David Sanger, ainsi qu'à son livre « Confront and Conceal », qui suggéraient que le ver aurait infecté de l’intérieur la base iranienne Natanz puis se serait propagé vers l’extérieur, Zetter affirme en fait, que c’est le contraire qui s’est produit : le ver aurait été lancé de l’extérieur puis se serait propagé sur des machines bien ciblées afin d’atteindre les moteurs et centrifugeuses d’enrichissement de l’uranium de la base iranienne.

    La firme de sécurité Symantec confirme cette hypothèse. En effet, selon un article qu’elle a publié lors de la sortie du livre, elle explique comment ses analystes ont pu retrouver la trace de ce ver, opération qui a été possible seulement parce que Stuxnet est conçu pour stocker dans son fichier exécutable une liste ordonnée des noms, domaines et adresses IP des machines infectées. « Ce sont les miettes de pain que nous avons suivi pour récupérer la liste des premiers ordinateurs compromis », disait-elle dans son blog.

    Mais comment atteindre la base de Natanz alors que celle-ci n’est pas connectée à internet ?
    Zetter explique dans son livre que cela s’est fait en infectant d’abord 4 sociétés impliquées dans la fabrication et l’assemblage de composants ou l’installation de systèmes de contrôle industriels de Natanz. Le ver aurait ensuite atteint la base iranienne à travers les flash-disk infectés des employés. Cette piste est vérifiée en tout cas pour la version 1.x, dite « agressive » du virus. La version 0.5 n’étant pas propagée largement, il n’y a pas assez d’échantillons pour faire une analyse aussi poussée de son parcours.

    Les noms de quatre entreprises ciblées par les attaquants sont cités dans le livre de la journaliste, mais Kaspersky Lab cite la présence d’une cinquième société qui aurait également été infectée par Stuxnet. Malheureusement pour ses créateurs, un défaut de programmation ou de conception aurait causé la perte de contrôle de ce ver, qui s’est propagé sur internet et a infecté des milliers d’autres machines en dehors des cibles désignées.

    Figure : Distribution géographique des infections de Stuxnet (source : Symantec)

    « On ne sait pas combien de temps il a fallu à Stuxnet pour atteindre sa cible après avoir infecté des machines à Neda et dans les autres sociétés, mais entre juin et août, le nombre de centrifugeuses d'enrichissement d'uranium de Natanz a commencé à baisser », déclare Zetter dans un article sur Wired ; « Si cela était le résultat uniquement de la nouvelle version de Stuxnet ou les effets persistants de la version précédente ? On ne sait pas. Mais en août de cette année, seulement 4592 centrifugeuses étaient fonctionnelles à l'usine, soit une baisse de 328 centrifugeuses depuis juin. En novembre, ce nombre avait chuté encore plus loin pour 3936, soit une différence de 984 en cinq mois ».

    On peut donc dire que les créateurs de ce virus ont atteint leur –ou une partie de leur- objectif. Quant à l’origine des attaquants, selon le livre de David Sanger, ce ver informatique a été développé par les États-Unis et Israël. Dans la description du livre de Kim Zetter sur Amazon on peut lire que cet ouvrage montre comment « les services de renseignement et les militaires paient des sommes énormes pour le code malveillant dont ils ont besoin pour mener à bien les infiltrations et les attaques ». Il semblerait donc que les deux auteurs soient d’accord sur ce point.

    Sources : Wired, blog de Symantec, Kaspersky Lab, New York Times, Amazon

    Et vous ?

    Qu’en pensez-vous ?

  2. #2
    Membre éprouvé Avatar de Shuty
    Homme Profil pro
    Ingénieur en développement
    Inscrit en
    Octobre 2012
    Messages
    630
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Ingénieur en développement
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Octobre 2012
    Messages : 630
    Points : 1 174
    Points
    1 174
    Par défaut
    Comme la plupart des lecteurs, je ne suis absolument pas étonné... Comme on dit souvent : pour se défendre, il faut pouvoir attaqué. Qui que ce soit derrière ce ver, il avait et a beaucoup de pouvoir entre ses main. Reste à savoir réellement ce qu'ils comptaient en faire...

  3. #3
    Membre confirmé
    Profil pro
    Inscrit en
    Juillet 2007
    Messages
    156
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Secteur : Communication - Médias

    Informations forums :
    Inscription : Juillet 2007
    Messages : 156
    Points : 540
    Points
    540
    Par défaut
    Je ne sais pas si les livres et articles cités établissent le lien. Les Etats-Unis et Israël étaient évidemment soupçonnés. Un ex-général israëlien avait affirmé que Tsahal en était l'auteur et il n'a, me semble-t-il, jamais été démenti, que ce soit par l'armée américaine ou Tsahal.
    Je ne sais pas dans quelle mesure les SNCC/Scada (et le concerné, PCS-S7), robustes quant aux risques industriels, ont depuis fait des progrès en matière de sécurité informatique.

Discussions similaires

  1. Renvoyer des traces "autogrow" vers l'event log windows
    Par philwood dans le forum Administration
    Réponses: 2
    Dernier message: 27/05/2014, 17h34
  2. pré requis sécurité pour ouvrir exchange vers les mobiles
    Par milouse95620 dans le forum Exchange Server
    Réponses: 1
    Dernier message: 20/02/2013, 16h39
  3. Réponses: 1
    Dernier message: 04/03/2006, 22h56
  4. Evolution du developpement vers la sécurité...
    Par jesus144 dans le forum Etudes
    Réponses: 6
    Dernier message: 06/01/2006, 01h36

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo