SCADA et Stuxnet ou les prémices d’une scadastrophe

Propagation de Stuxnet

Voici un thème dont j’aimerai beaucoup vous parler librement, mais voilà, ça ne va pas être possible. Sans pratiquer la langue de bois et en essayant de faire très court, je vais simplement ici vous faire part de mon sentiment sur une infection qui cible en ce moment l’Iran, l’Inde, le Pakistan et une poignée d’autres pays en Asie du sud est, mais aussi dans une moindre mesure, les continents européens et américains (voir la carte de la propagation).

SCADA, ou Supervisory Control And Data Acquisition, est un système de surveillance et d’acquisition de données qui existe maintenant depuis plusieurs décennies. SCADA opère le monitoring d’infrastructures, depuis la gestion de l’énergie dans un immeuble jusqu’à la température du noyau d’un réacteur nucléaire en passant par les ponts, les tunnels, les gazoducs, les oléoducs … Ça ne vous rappelle rien ? Moi comme ça, je pense un peu au scénario de Die Hard 4.

En clair, si un pays cherchait à paralyser un autres pays, en vue d’une attaque, SCADA serait une cible de choix. Quand j’ai commencé à m’intéresser au délit de négligence caractérisée, je me suis demandé ce que SCADA était devenu puis l’arrivée du web… et bien c’est une … scadastrophe. On trouve certains systèmes accessibles depuis le Net, dont certains sans authentification. Ils ne sont certes pas simples à trouver, ce ne sont certainement pas les plus sensibles… mais on en trouve, et l’apparition des iPhone et autres blackberry y est surement pour quelque chose. On trouve même des clients lourds SCADA sur Megaupload pour tout vous dire… Certains chefs d’entreprises qui déploient ce genre de systèmes de contrôle aiment bien, en mobilité, garder un oeil sur leur production. Je n’irais pas plus loin pour l’instant sur le sujet et je vous donne, peut être, rendez-vous l’été prochain, pour un talk sur ce thème.

Depuis quelques mois maintenant, une infection virale, Stuxnet, cible des équipements SCADA du constructeur SIEMENS. Sa propagation, particulièrement ciblée sur, semble t-il, les infrastructures iraniennes, a de quoi soulever quelques interrogations. Les autorités iraniennes affirment que le worm n’a pour l’instant pas fait de dégâts, mais ne prépare t-il pas une attaque qui risque d’en faire bien plus (embarque t-il une bombe logique ?). Ce sont plus 30 000 machines en Iran qui en sont actuellement victimes.

Autre interrogation légitime, qui a pu mettre en place une stratégie de propagation aussi ciblée si ce n’est un État ? Certains n’hésitent pas à affirmer qu’il s’agit d’une attaque bien dirigée contre les infrastructures nucléaires iraniennes, et très franchement, je doute qu’elle soit l’oeuvre de militants Greenpeace. S’il est encore un peu tôt pour parler d’une cyber guerre, vu d’ici, ça y ressemble quand même drôlement. Israël et la Russie sont même pointés du doigt, mais à ce jour, rien ne nous autorise à l’affirmer avec certitude. Quoi qu’il en soit, le spectre d’une agence gouvernementale plane sur Stuxnet et il semble que des moyens considérables aient été déployés pour rendre cette infection possible (des moyens humains pour toucher les infrastructures sensibles en leur coeur et des moyens techniques pour coder ce worm).

Techniquement, Stuxnet exploiterait non pas un mais 4 0day (une véritable débauche de moyens !) pour s’engouffrer dans la faille LNK découverte en juin dernier et présente dans pratiquement toutes toutes les versions de Windows (jusqu’à Seven… “c’était mon idée”). Il embarquerait un rootkit et un chiffrement très complexe à casser pour cibler le Simatic WinCC de Siemens, ses systèmes SCADA et tendrait à tenter d’infecter la base de données à laquelle ces solutions se connectent. L’exécution du payload rendue possible par l’exploitation de la faille LNK permet, depuis une simple clef USB liant un appel de lien .ink, de compromettre le système en exécutant du code malicieux… c’est assez imparable et particulièrement élaboré.

Stuxnet inquiète et à juste titre, sa persistance n’est pas faite pour rassurer et on se demande qui pourrait déployer autant de moyens pour compromettre un système aussi sensible, et surtout, dans quel but.

En tout, cas… moi je dis ça mais je dis rien hein… j’en connais qui devraient sérieusement se pencher sur cette question au lieu de faire la chasse aux téléchargeurs de mp3. La compromission de SCADA, c’est tout sauf de la science fiction, et c’est tout sauf rigolo… des vies sont en jeu, et là je ne parle pas des pirates qui tuent les artistes en provocant des AVC par DDoS… mais de vrais méchants qui pourraient tuer de vrais gens.

29 Comments

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.