Je me doutais bien qu’on avait pas finit d’entendre parler de Stuxnet, ce vers informatique que les experts soupçonnaient depuis le début de viser la centrale nucléaire de Natanz en Iran (et peut-être également celle de Qom dont la confirmation de l’existence nous a été hier révélée par le Cablegate de Wikileaks). La sophistication de ce code, couplée au type d’équipements qu’il attaquait laissait peu de doute sur le fait qu’il ne s’agissait pas d’un petit bidouillage « pour la gloire ».
#Cablegate : L’Arabie Saoudite et le Bahrein inquiets du programme nucléaire Iranien
La plus grande fuite de documents secrets de l’histoire n’a pas finit de nous livrer son lot de surprise, on apprend par exemple que l’Arabie Saoudite, par l’intermédiaire du roi Abdallah et le Bahrein, auraient, tout comme Israel, exercé des pressions sur Washington pour mettre fin au programme nucléaire Iranien. Richard Hetu signale même que la Corée du Nord aurait fourni des missiles à l’Iran et que ces derniers auraient la capacité d’atteindre Moscou et d’autres capitales européennes.
On comprend donc aisément que de très nombreuses nations ont intérêt à voir l’Iran mettre fin au programme nucléaire iranien. Du coup, on se demande toujours qui peut bien être à l’origine du vers Stuxnet dont on a aujourd’hui la quasi certitude qu’il visait bien une centrale nucléaire iranienne.
SCADA sous les balles
On a encore récemment parlé de SCADA à l’occasion de la propagation du ver Stuxnet qui visait des systèmes SCADA Siemens. Sa cible et ses auteurs présumés, comme son fonctionnement, ont été largement commentés et ceci est du à la nature des équipements sur lesquels les systèmes SCADA opèrent. L’une des 4 vulnérabilités inconnue jusqu’à Stuxnet, et qui affectait Windows, a tout juste été fixée. Stuxnet par son aspect ultra élaboré est soupçonné d’être l’oeuvre d’une agence gouvernementale dans le but de mettre à mal une centrale nucléaire iranienne. Nous n’aurons probablement jamais le fin mot de l’affaire mais ceci a peut être été l’occasion pour certains d’aller jeter un oeil sur la sécurité de ces systèmes dédiés au monitoring et à l’acquisition de données d’équipements industriels ou de génie civil, divers et variés.
Daté d’hier, un exploit révèle un buffer overflow dans les systèmes SCADA Realflex de DATAC Realwin.
Ce qui se passe aujourd’hui, en dehors du mystère Stuxnet, résulte de dizaines d’années de mauvaises pratiques sécuritaires chez quelques éditeurs et dans le secteur de l’informatique industrielle. La situation est toutefois assez inquiétante et tous les pays concernés devraient méditer un audit sans concession de ces infrastructures, ne serait-ce, que pour évaluer le risque, souvent amoindri au prétexte que ces équipements sont rarement interconnectés.
Si certains systèmes ne présentent que peu de risques, des systèmes dédiés à des sites bien identifiés comme à risque (ponts, tunnels, lignes de transport ferroviaire, installations nucléaires…) devraient faire l’objet d’attentions nouvelles.
Sans céder à la paranoia, il serait bienvenu, même au niveau français et c’est pas Ossama qui me contredira, de prendre la mesure exacte des risques de scénarios noirs sur ces systèmes et essayer de comprendre si nous y sommes préparés.
L’Iran se serait débarrassé de Stuxnet
On en causait il y a peu ici, Stuxnet, un mystérieux virus s’en prendrait à des infrastructures industrielles. Le risque est la destruction physique d’équipements industriels, pouvant impliquer des pertes en vie humaines. À ce jour, c’est la Chine qui serait la plus touchée en nombre par le virus qui y revendique plus de 6 millions de machines infectées, une information qui contraste assez avec celle en provenance d’Iran, où les autorités affirment s’être débarrassées du worm. Siemens a effectivement publié un antidote mais l’élaboration de l’attaque n’a pas fini de faire causer dans les conventions relatives à la sécurité informatique. La persistance du virus et sa propagation soutenue pour le système ciblé reste inquiétante et tout triomphalisme me semble personnellement un peu prématuré.
Le New York Times aurait de son côté trouvé un indice, une référence biblique, qui viendrait conforter un peu plus la thèse soutenue par certains, venant à pointer du doigt les services secrets israéliens et peut être même, américains… à moins qu’il ne s’agisse d’une diversion, ce qui est fort probable également, vu l’enjeu et la réalisation de ce vers qui s’appuie sur pas moins de 4 failles 0day et le vol de certificats électroniques de constructeurs. L’attaque a été préparée de manière savante et on imagine difficilement qu’elle soit l’oeuvre de personnes ne disposant pas de moyens considérables.
En trame de fond, la polémique pourrait même devenir un cas d’école pour certains équipementiers, qui, comme Siemens, dont les équipements étaient la cible initiale de Stuxnet, risquent d’avoir un peu de travail en terme de communication clients sur la sécurisation de leurs dispositifs à usages industriels. Siemens aurait par exemple recommandé à ses clients de ne pas installer d’antivirus au motif que ceci pourrait ralentir le système ou inviterait à laisser les mots de passe de connexion à la base de données inchangés.
Je vous invite à lire l’interview de Stephan Tanase sur le MagIT pour comprendre les enjeux et les raisons de la perplexité de tous les experts qui se sont intéressés à ce dossier, ainsi que l’article tout frais de Mag-Securs qui se penche sur les auteurs supposés de l’attaque.
SCADA et Stuxnet ou les prémices d’une scadastrophe
Voici un thème dont j’aimerai beaucoup vous parler librement, mais voilà, ça ne va pas être possible. Sans pratiquer la langue de bois et en essayant de faire très court, je vais simplement ici vous faire part de mon sentiment sur une infection qui cible en ce moment l’Iran, l’Inde, le Pakistan et une poignée d’autres pays en Asie du sud est, mais aussi dans une moindre mesure, les continents européens et américains (voir la carte de la propagation).
SCADA, ou Supervisory Control And Data Acquisition, est un système de surveillance et d’acquisition de données qui existe maintenant depuis plusieurs décennies. SCADA opère le monitoring d’infrastructures, depuis la gestion de l’énergie dans un immeuble jusqu’à la température du noyau d’un réacteur nucléaire en passant par les ponts, les tunnels, les gazoducs, les oléoducs … Ça ne vous rappelle rien ? Moi comme ça, je pense un peu au scénario de Die Hard 4.
En clair, si un pays cherchait à paralyser un autre pays, en vue d’une attaque, SCADA serait une cible de choix. Quand j’ai commencé à m’intéresser au délit de négligence caractérisée, je me suis demandé ce que SCADA était devenu depuis l’arrivée du web… et bien c’est une … scadastrophe. On trouve certains systèmes accessibles depuis le Net, dont certains sans authentification. Ils ne sont certes pas simples à trouver, ce ne sont certainement pas les plus sensibles… mais on en trouve, et l’apparition des iPhones et autres blackberry y est surement pour quelque chose. On trouve même des clients lourds SCADA sur Megaupload pour tout vous dire… Certains chefs d’entreprises qui déploient ce genre de systèmes de contrôle aiment bien, en mobilité, garder un oeil sur leur production. Je n’irai pas plus loin pour l’instant sur le sujet et je vous donne, peut être, rendez-vous l’été prochain, pour un talk sur ce thème.
Depuis quelques mois maintenant, une infection virale, Stuxnet, cible des équipements SCADA du constructeur SIEMENS. Sa propagation, particulièrement ciblée sur, semble t-il, les infrastructures iraniennes, a de quoi soulever quelques interrogations. Les autorités iraniennes affirment que le worm n’a pour l’instant pas fait de dégâts, mais ne prépare t-il pas une attaque qui risque d’en faire bien plus (embarque t-il une bombe logique ?). Ce sont plus 30 000 machines en Iran qui en sont actuellement victimes.
Autre interrogation légitime, qui a pu mettre en place une stratégie de propagation aussi ciblée si ce n’est un État ? Certains n’hésitent pas à affirmer qu’il s’agit d’une attaque bien dirigée contre les infrastructures nucléaires iraniennes, et très franchement, je doute qu’elle soit l’oeuvre de militants Greenpeace. S’il est encore un peu tôt pour parler d’une cyber guerre, vu d’ici, ça y ressemble quand même drôlement. Israël et la Russie sont même pointés du doigt, mais à ce jour, rien ne nous autorise à l’affirmer avec certitude. Quoi qu’il en soit, le spectre d’une agence gouvernementale plane sur Stuxnet et il semble que des moyens considérables aient été déployés pour rendre cette infection possible (des moyens humains pour toucher les infrastructures sensibles en leur coeur et des moyens techniques pour coder ce worm).
Techniquement, Stuxnet exploiterait non pas un mais 4 0day (une véritable débauche de moyens !) pour s’engouffrer dans la faille LNK découverte en juin dernier et présente dans pratiquement toutes toutes les versions de Windows (jusqu’à Seven… « c’était mon idée »). Il embarquerait un rootkit et un chiffrement très complexe à casser pour cibler le Simatic WinCC de Siemens, ses systèmes SCADA et tendrait à tenter d’infecter la base de données à laquelle ces solutions se connectent. L’exécution du payload rendue possible par l’exploitation de la faille LNK permet, depuis une simple clef USB liant un appel de lien .ink, de compromettre le système en exécutant du code malicieux… c’est assez imparable et particulièrement élaboré.
Stuxnet inquiète et à juste titre, sa persistance n’est pas faite pour rassurer et on se demande qui pourrait déployer autant de moyens pour compromettre un système aussi sensible, et surtout, dans quel but.
En tout, cas… moi je dis ça mais je dis rien hein… j’en connais qui devraient sérieusement se pencher sur cette question au lieu de faire la chasse aux téléchargeurs de mp3. La compromission de SCADA, c’est tout sauf de la science fiction, et c’est tout sauf rigolo… des vies sont en jeu, et là je ne parle pas de pirates qui tuent les artistes en provocant des AVC par DDoS… mais de vrais méchants qui pourraient tuer de vrais gens.