Virus Stuxnet : « impossible de localiser les responsables »

par Alexandre Hervaud

tag : virus

Photo Reuters

Marc Blanchard dirige les laboratoires de recherches technologiques et scientifiques des éditions Profil, qui distribuent l’antivirus BitDefender. Il étudie l’émergence et la dangerosité des malwares, ces logiciels malveillants comme le ver Stuxnet affectant depuis quelque temps les installations iraniennes.

On connaît depuis longtemps les attaques contre des sites Internet, pour en extraire des informations, mais Stuxnet vise carrément des infrastructures concrètes.
C’est un niveau de cyberterrorisme qui dépasse de loin ce qu’on a pu connaître par le passé. L’origine de l’infection n’a rien à voir avec la plupart des attaques classiques qui se propagent via le web, ce n’est pas en cliquant sur un lien que les techniciens des centrales iraniennes ont infecté leurs ordinateurs. Stuxnet, découvert au mois de juin, est un ver qui débarque sur une machine, ici les PC portables des techniciens, via une simple clé USB. Le ver se connecte ensuite aux systèmes Scada (système de contrôle des installations industrielles), qui sont à boucles fermées pour éviter toute intervention humaine. Ces systèmes permettent de surveiller en temps réels des installations industrielles, et sont dans le cas présent utilisés pour la gestion des pompes à eaux des centrales. On les trouve également dans les raffineries de gaz ou de pétrole.

En terme de conséquences, à quoi peut-on s’attendre ?
Elles sont diverses. On peut par exemple envisager des changements des temps de réponses pour modifier les débits des pompes. En cas d’urgence, elles sont censées réagir en 100 millisecondes ! Contrôlé à distance, le ver peut également bouleverser les configurations des systèmes Scada, ou encore les instructions habituellement entrées par les ingénieurs. Stuxnet peut aussi rendre toute surveillance du système inutile, en faisant afficher aux consoles de supervision des données trompeuses : à les lire, les techniciens peuvent croire que tout va bien, alors que ce n’est pas du tout le cas.

Qui peut être derrière ces attaques ?
C’est la question à ne pas poser… Je travaille régulièrement avec des employés de gouvernements, et sauf en cas de revendication claire, ils avouent être incapables de retrouver les auteurs de telles attaques. On peut déterminer quelles régions sont touchées par un virus - dans le cas du ver Stuxnet, 60% des ordinateurs infectés se trouvent en Iran, par exemple, mais impossible de localiser les développeurs responsables. C’est un ennemi invisible, d’autant que certains vers peuvent se mettre à jour sans intervention extérieure, et évoluent de manière significative en l’espace d’une heure ou deux.

Peut-on prévenir ou lutter efficacement contre une telle menace ?
Le problème, c’est qu’il s’agit d’attaque dite « zero day », autrement dit en temps réel, visant des systèmes pas encore assez protégés pour y faire face. De fait, le plus souvent, la seule chose qu’il reste à faire, une fois l’infection détectée, c’est rester sur la défensive, attendre et subir l’attaque pour mettre ensuite en place une méthode de protection adaptée. Tous les pays devraient se consulter sur les procédures à suivre quand de telles installations industrielles sont visées. C’est un refrain connu : en 1998, déjà, quand j’alertais des responsables sur ce sujet, on me riait au nez. Avec l’accès au haut débit en Afrique prévu pour fin 2011, et les 100 millions d’internautes supplémentaires que cela va représenter, le risque va s’accroître. Des attaques bien pires que celles-ci sont à craindre.

Paru dans Libération du 29/09/2010

Il y a 22 réactions à cet article.

Lire les réactions.
Réagir à cet article.

Partager cet article

Partager Tweet