Créer son blog Recommander ce blog Avertir le modérateur

Ce que l’on ne vous a jamais dit sur le virus Stuxnet. Et pour cause !
Permettez-moi commencer par un court extrait du livre Deux tigres sur la même colline pour donner le ton.
« [...] Alors même qu’il se prépare à rejoindre son bureau, il est loin d’imaginer qu’à des milliers de kilomètres de New York le général Huán Gōng a donné l’ordre de lancer les deux dernières phases de l’opération T’ang.
La première phase a pour objectif d’infiltrer les systèmes informatiques de la bourse de New-York (NYSE : New-York Stock Exchange). Les cyber-guerriers de l’unité 013114 le savent, toute attaque laisse comme trace une adresse IP indiquant le pays d'origine. Pour cette première phase, l’unité préfère, pour ne pas éveiller les organismes de cyber sécurité en charge de Wall Street, utiliser une clé USB pour stocker un programme de jeux innovants, infectés par une nouvelle génération du virus Stuxnet14.
[...] Le virus Stuxnet14 a pour fonction de faire croire aux traders et courtiers, ainsi qu’aux THF, que tout est normal lors de la cyber attaque (...]».
Deux tigres sur la même colline est une fiction, mais, cependant, je m’autorise à vous compter l’histoire bien réelle la première arme de guerre cybernétique : le virus Stuxnet.
L’existence de ce virus a été divulguée publiquement il y a maintenant trois ans. Aujourd’hui Stuxnet, continue à déjouer les stratèges militaires, les experts en sécurité informatique ainsi que les décideurs, car plusieurs questions se posent encore aujourd’hui :
Comment a-t-il attaqué les installations nucléaires iraniennes de Natanz ?
Comment a-t-il été conçu pour être introuvable ?
L’une des réponses (du moins la mienne) est que Stuxnet n’est pas vraiment une arme, mais deux armes !
La première arme, a modifié la vitesse de rotation des rotors des centrifugeuses servant à l’enrichissement de l’uranium. Mais la seconde arme est un véritable cauchemar pour les experts en charge de la sécurité des systèmes de contrôle industriel.
Commençons par l’histoire des centrifugeuses de Natanz.
Les services de renseignements des américains, Israéliens, français et d’autres, savaient l’usine iranienne d’enrichissement d’uranium de Natanz utilisaient des équipements obsolètes et peu fiables : des centrifugeuses IR-1 (également connus sous le nom de code P1 pour Pakistan 1).
La centrifugeuse IR-1 est l'épine dorsale du système d’enrichissement d'uranium de l'Iran. Sa conception européenne remonte à la fin des années 1960, début des années 1970, et fut « empruntée sans vergogne » par le Pakistan qui l’améliora légèrement. IR-1 est de conception métallique fonctionnant de manière fiable à condition cependant d’utiliser des composants critiques fiables, tels que les convertisseurs de fréquence et les lecteurs de couple. Hors, les Iraniens n’ont jamais réussi à obtenir un haut niveau de fiabilité de ces composants. La solution était donc pour eux, de diminuer la pression afin d’éviter des dommages des rotors et ainsi avoir de nombreuses centrifugeuses hors services. Mais qui dit moins de pression, dit moins d’efficacité. Pratiquement un rendement inférieur de moitié au rendement optimal.
L’Iran a compensé ce manque de fiabilité et d'efficacité des centrifugeuses en augmentant leur nombre, acceptant implicitement quelques éléments hors services. Comme le nombre ne peut se substituer à la fiabilité, l’Iran a construit un système de protection en cascade, composé de trois ensembles de vannes d’arrêt pour chaque centrifugeuse. Par exemple, si l’une d’entre elle a un niveau de vibration trop important, elle peut être isolée en fermant des vannes, puis remplacer par les ingénieurs de maintenance.
Mais les vannes d’isolement peuvent se transformer en autant de problèmes que de solutions. Que se passerait-il si plusieurs centrifugeuses tombaient en panne en même temps ? Fermer plusieurs vannes entraînerait une augmentation de la pression, conduisant inévitablement à une détérioration en chaîne.
Les Iraniens trouvèrent la solution en installant des soupapes d’échappement. La pression étant surveillée par des capteurs pendant tout le cycle d’enrichissement. Mais cette solution ouvrit la porte à une cyber attaque.
Le système de protection en cascade de Natanz s'appuyait sur 417 automates Siemens de type S7. Celles-ci contrôlaient les cascades de vannes et de capteurs, de groupes de 164 centrifugeuses chacun. Un contrôleur peut être considéré comme un petit système informatique directement connecté à un équipement physique, telle qu’une vanne ou un capteur.
Stuxnet a été conçu pour infecter ces contrôleurs et prendre le contrôle intégral sur eux d’une manière digne d’un film d'Hollywood. Mais à Natanz, ce n’est pas du cinéma, jugez-vous même.
Stuxnet enregistrait, une fois par mois, les valeurs des capteurs du système de protection en cascade pour une période de 21 secondes. Puis il rejouait ces 21 secondes dans une boucle constante lors de l'exécution de l'attaque. Pour les opérateurs de la salle de contrôle tout est normal, mais pendant ce temps Stuxnet exécutait son travail malveillant. Puisqu’il avait pris le contrôle des automates Siemens qui gèrent les vannes, il donna l’ordre à celles-ci de fermer les vannes d’isolement lors de la premier et dernière d’étape du processus d’enrichissement. Ce qui eu pour effet de bloquer l’écoulement du gaz avec pour impact l’augmentation de la pression dans le reste de la cascade de centrifugeuses.

Vous devez savoir que les centrifugeuses d’enrichissement d’uranium, sont particulièrement sensibles à toute augmentation de la pression. Une augmentation de la pression provoque une solidification du gaz (l'hexafluorure d’uranium gazeux), les endommageant fatalement. Cette attaque provoqua ainsi la destruction simultanée de centaines de centrifugeuses et la détérioration des protections du personnel entrainant plusieurs décès (analyse post-mortem).
En 2009, les assaillants décidèrent d'essayer quelque chose de différent. Une nouvelle variante de Stuxnet fut conçue : beaucoup plus simple et nettement moins discrète que la précédente. Ce nouveau Stuxnet joua une autre partition : cette version ne s’attaqua plus au refroidissement (gaz), mais au contrôle de la vitesse du rotor. Son installation même fut différente, puisqu’il fut transporté par une clé USB, stocké à l’intérieur d’un programme de configuration des automates SIEMENS.
C’est à ce moment que les assaillants perdirent la maitrise de ce virus. C’est la seconde arme dont les effets seront encore dévastateurs.
Via le réseau d’ordinateurs interconnectés, le virus stocké sur la clef USB a été transporté, d’ordinateur en ordinateur, de pays en pays et ainsi découvert par des sociétés travaillant dans le domaine de la cyber sécurité. Basé à Moscou, le laboratoire Kaspersky Lab a été l’un d’eux mais également de nombreux hackers. Ils lui ajoutèrent des faiblesses non découvertes dans le logiciel de Microsoft Windows – comme la faille « zero-day », ou des certificats numériques volés permettant à Stuxnet de se présenter comme pilote légitime dans votre ordinateur sans être rejeté par les nouvelles versions du système d'exploitation Windows.
Nous avons la preuve aujourd’hui que Stuxnet n’a pas infecté que les installations de Natanz en Iran, il a également fait son travail de malveillant dans des systèmes au Royaume Unis, en Corée, etc.
Le 10 novembre 2013, Eugene Kaspersky, CEO du laboratoire Kaspersky a révélé que Stuxnet avait infecté le réseau interne d'une centrale nucléaire russe.
Ah ! J’oubliais, Stuxnet télécharger le bon code et peut concevoir son propre code malveillant.
Et pour que l’histoire soit complète, je vous offre en conclusion quelques lignes de Deux tigres sur la même colline :
« [...] Le vendredi 31 janvier à 1 h 30 locales, les THF de Pudong lancent la première vague d’options d’achats sur une vingtaine d’entreprises américaines ne portant pas atteinte à la sécurité nationale, comme AZ Leasing, Fly Leas ADR, Accenture, Colgate Palmolive ou d’entreprises en grandes difficultés comme, US Postal Service qui accuse une perte de 1,3 milliards de dollars en février 2013. En quelques millisecondes les options d’achats arrivent au NYSE. La nouvelle version du virus Stuxnet14 fait croire aux traders et courtiers, ainsi qu’aux THF du NYSE, que tout est normal. Le dollar remonte à son niveau initial et les grandes banques regagnent ce qu’elles ont perdu, les cours de l’action des entreprises ciblées n’évoluent pratiquement pas : le virus Stuxnet remplit parfaitement son rôle (...] ».
CQFD pourrait-on conclure ! Ce n’est pas Eugene Kaspersky qui viendra contredire que Deux tigres sur la même colline est bien plus qu’un thriller mais, sûrement, bien le contraire...
Vous pouvez commander le livre sur Amazon en cliquant sur le lien : http://www.amazon.fr/Deux-tigres-sur-m%C3%AAme-colline/dp/B00DU43FPA
Rédigé par Patrick JAULENT le Mercredi 20 Novembre 2013 à 17:22

En ce jour de commémoration de la grande guerre, Il m’a semblé opportun de clarifier le préfixe « cyber » avant que cela ne devienne absurde.
Vous connaissiez la cyber menace, la cyber guerre, les cyber guerriers, les cyber ennemis, rassurez-vous vous n’êtes qu’au début de ce préfixe désormais hors de contrôle. Dans quelques années nos enfants auront droit à de cyber commémorations, de cyber défilés composés de cyber vétérans portant fièrement leurs cyber médailles !


Espérons qu’ils seront « cyber contents » !

Une « guerre » numérique assimile à tort des ordinateurs avec des armes militaires traditionnelles, mais un code informatique (une succession de « 0 » et de « 1 ») n’explose pas !!

Pour qu’il y ait guerre, il est donc nécessaire de militariser un système cible, qu’il s’agisse de centrifugeuses, d’un train, d’un avion, d’une centrale nucléaire ou d’un simulateur cardiaque.

Dans une guerre des gens meurent, ce n’est pas la même chose que de piller des milliards d’Euros : Une cyber-guerre fait des cyber-morts qui n’existent pas.
Lorsqu’en 2012, un pirate informatique frappa la compagnie pétrolière nationale d'Arabie Saoudite, ARAMCO, 30 000 postes de travail furent infectés. Cet acte de sabotage fut d’une efficacité redoutable, puisque ARAMCO ne purent fonctionner pendant une semaine entière. Mais il n’y a pas eu une seule personne blessée.

Devons-nous parler de cyber attaque » ou de sabotage ?

Avec l’ordinateur, les termes tels que « sabotage », « espionnage » ont changé. Et j’avoue qu’en cours j’aime taquiner mes étudiants sur l’utilisation du préfixe « cyber. » J’aime leur rappeler le « cyber succès » de la « cyber attaque » avec le virus STUXNET, ralentissant le programme nucléaire iranien.

Je suis un fan de James Bond. J'aime bien le début du film de Goldeneye , le premier film de Pierre Brosnan, où 007 et 006 se faufilent pour faire sauter une usine d'armes chimiques soviétique au milieu de nulle part.

Quelle est la différence entre STUXNET et 007 ?

Personnellement Je n’en vois pas beaucoup. Dans les deux cas, les agents d'une puissance sabotent les installations d'une puissance ennemie.

Mais, s’il n’y a pas de différence (selon moi) comment appeler alors ce type d’actes causés à partir d’un ordinateur ?

Je n’ai pas (encore) de réponse précise, mais ce que je sais, c’est que ce n’est pas aux politologues ou aux militaires en quête de nouveaux challenges (et nouveau budget) à créer les termes.

Qu’en penses-vous ?
Rédigé par Patrick JAULENT le Lundi 11 Novembre 2013 à 14:22


> A LIRE EN CE MOMENT SUR DECIDEO


Dr Patrick JAULENT



Patrick Jaulent a plus de 25 ans d'expérience en Performance des organisation publiques et privées.


Ancien consultant, professeur.


Plus de 80 projets en pilotage de la performance réalisé.


C'est un Expert en Définition & Exécution stratégique, Tableaux de bord & Indicateurs de performance


Auteurs de plusieurs ouvrages sur ces sujets (Piloter vos performances, édition AFNOR - Méthodes de Gestion comment les intégrer Editions d'organisation - Les leviers de la performance Editions Riscus) et Objectif performance (éditions AFNOR)



Archives


RSS ATOM RSS comment PODCAST Mobile