Alliance Géostratégique

Proliférant en Iran plus qu’ailleurs, le très sophistiqué malware Stuxnet a été spécialement conçu pour attaquer des infrastructures vitales en général, et les installations nucléaires perses en particulier.

Il aurait causé de sérieuses nuisances à la centrale nucléaire de Bushehr qui, étrangement, a retardé sa remise en service. La première arme cybernétique d’emploi et de dissuasion ne pèserait-elle que quelques kilo-octets ?

Au commencement était le SCADA

La totalité des infrastructures vitales (eau, électricité, télécommunications, gaz, carburants, pipelines, raffineries, centrales nucléaires, etc) repose sur des systèmes de contrôle et de communication appelés SCADA : Supervisory Control And Data Acquisition ou « télésurveillance et acquisition de données. »

J’avais longuement expliqué leurs rôles et leurs importances dans mon article « Peut-on dissuader dans le cyberespace » publié dans la Revue Défense Nationale, disponible en version anglaise dans Diploweb.

Du fait de risques propres à l’ère informationnelle, la mise à jour des applications SCADA s’effectue le plus souvent par des clés USB. Leur connexion à l’internet repose sur des modems, des routeurs, des applications et des protocoles fermement sécurisés. Par ailleurs, gardons-nous de toute apocalypse technologique : les SCADA et les technologies associées intègrent des paramètres de sûreté en cas d’alerte ou d’action dangereuse pour « la sphère réelle ». Beaucoup trop de scénarios catastrophes omettent grandement ce facteur humain capable de réagir, d’improviser et surtout d’intervenir manuellement en cas d’urgence.

Technologies critiques à la fois matérielles, logicielles et réseautiques, les SCADA sont hautement indispensables au bon fonctionnement des infrastructures vitales et constitutent de facto des cibles de prédilection pour des intrusions et des offensives en ligne.

Des cyberattaques massives déclenchées par des hackers russes et/ou par l’armée russe paralysèrent plusieurs infrastructures vitales d’Estonie et de Géorgie (stations d’essence, banque, médias, télécommunications, etc). Au Brésil, une centrale hydroélectrique fut victime d’un très sévère hacking, privant une centaine de villes et leurs soixante millions d’habitants d’électricité, de transports en commun, de carburant, de feux de circulation, de télécommunications, d’ascenseurs, d’opérations bancaires et d’activités industrielles et commerciales pendant trois jours.

Et Stuxnet fut

Le malware W32.Stuxnet a été découvert à l’été 2010 par la petite société bélarusse de cybersécurité VirusBlokAda. Il consiste en un fichier infectieux portant l’extension « .LNK », se propageant via l’internet ou des mémoires USB et exploitant quatre failles critiques dans le système d’exploitation Windows 2000/XP2/Vista/7. Il est également destiné à « infiltrer » des architectures SCADA notamment celles conçues par la firme allemande Siemens. Point besoin d’un quelconque clic de l’utilisateur : Stuxnet déploie tout seul ses malices dès l’insertion d’une clé USB dans un ordinateur Windows.

Son mode opératoire complètement automatisé révèle un degré élevé de sophistication :

1. Stuxnet implante son pilote (driver) dans les architectures SCADA grâce à des certificats numériques d’authenticité reconnus sans le moindre soupçon par Windows car dérobés aux sociétés taïwanaises Realtek Semiconductor et JMicron Technology fabriquant des composants et des périphériques pour l’industrie informatique.

2. Il camoufle les modifications causées par son intrusion avec un rootkit, minuscule utilitaire-espion difficilement détectable, opérant au même niveau d’activité que le système d’exploitation qu’il a préalablement corrompu.

3. Le rootkit génère un « cheval de Troie » qui vérifie la présence de l’application SCADA WinCC Software (développée par Siemens) dans la machine infectée.

4. Le cheval de Troie « craque » l’application sus mentionnée afin d’obtenir son mot de passe.

5. Le rootkit génère un botnet C&C (automate logiciel de commandement et de contrôle d’utilitaires-espions) qui crée des « portes dérobées » (backdoors) dans l’architecture SCADA, compresse et exfiltre ses détails techniques par connexions sécurisées vers des labyrinthes de serveurs virtuels ou physiques de par le monde. Ainsi, la traçabilité électronique des récipients finaux s’évapore dans un « brouillard numérique ».

Selon la firme cybersécuritaire Symantec, Stuxnet a surtout infecté des SCADA iraniens (à hauteur de 58% !), indonésiens et indiens. Jusqu’ici, ce n’était qu’un spyware ultra-perfectionné, rien de plus. Toutefois, les mesures correctives ou défensives implémentées par Microsoft, Siemens et les éditeurs d’antivirus ces derniers n’ont pas empêché la propagation de ce malware. Des détails techniques le concernant ont été publiés par Symantec, Wildersecurity et CNET.

Objectif : Iranium

De juin à septembre 2010, Stuxnet fut minutieusement étudié par les milieux cybersécuritaires.

Expert en sécurité des systèmes industriels chez Siemens, Ralph Langner a récemment découvert deux étapes supplémentaires dans le mode opératoire de Stxunet. Il avait constaté que le malware n’entrait en action qu’après avoir détecté des configurations très particulières dans une architecture SCADA. Ces configurations sont implémentées grâce à un « Automate Programmable Industriel ».

Selon Wikipédia, « un automate programmable industriel (API) est un dispositif similaire à un ordinateur, ayant des entrées et des sorties, utilisé pour automatiser des processus comme la commande des machines sur une ligne de montage dans une usine. Là où les systèmes automatisés plus anciens emploieraient des centaines ou des milliers de relais et de cames, un simple automate suffit. […] Les API se caractérisent par rapport aux ordinateurs par leur fiabilité et leur facilité de maintenance (bien que les ordinateurs industriels atteignent également un très bon degré de fiabilité). Les modules peuvent être changés très facilement et le redémarrage des API est très rapide […] L’absence d’interface Homme-machine pour visualiser l’action et le fonctionnement du programme sur la partie opérative font que les automates sont très souvent reliés par une communication à un pupitre opérateur, une interface graphique (écran d’affichage ou écran tactile) ou un PC […] Un automate doté d’un programme simple peut maintenir un niveau de liquide dans un réservoir entre deux niveaux (un mini et un maxi), en ouvrant et fermant une vanne. »

Un Automate Programmable Industriel (API) dans une armoire électrique

Dès que Stuxnet – qui « sommeillait » dans le système d’exploitation Windows – détecte des configurations particulières au sein d’un API manufacturé par Siemens, il infiltre et modifie sa programmation (notamment un segment de code nommé Operational Block 35 par Siemens) en vue de le contrôler puis de causer une série de dysfonctionnements techniques dans toute l’architecture SCADA. Selon Langner, cette combinaison de facteurs ne se trouve que dans l’architecture SCADA de la centrale nucléaire iranienne de Bushehr, qui a été précisément ciblée et sérieusement infectée par le fameux malware.

Pour des raisons aisément compréhensibles, l’expert allemand refuse de dévoiler publiquement les détails des configurations API recherchées par le malware. Cependant, il estime que Stuxnet n’est pas un spyware mais un attackware de conception militaire ciblant les infrastructures vitales en général, et les installations nucléaires iraniennes en particulier. L’infection de la centrale nucléaire de Bushehr serait due à une clé USB utilisée par des ingénieurs de la firme russe AtomStroyExport chargée de sa reconstruction. Initialement prévue pour fin août 2010, la remise en service de cette centrale qui enchaîne des difficultés techniques depuis 2009 (année de création du malware), a été reportée sine die, selon le Christian Science Monitor.

Parallèlement ou corrélativement, le site internet de AtomStroyExport fut victime d’un acte de cyberpiratage avant d’être « blacklisté » par les éditeurs d’antivirus et les moteurs de recherche. Motif : ses pages web hébergeaient une pépinière de malwares. Pas très rassurant pour une entreprise exerçant dans la construction et la mise en service de centrales nucléaires.

Comment Stuxnet s’est-il retrouvé en Inde et en Indonésie ? Ici, on peut invoquer une infection en ligne et des échanges d’applications SCADA par clés USB entre ingénieurs chargés de leur mise à jour, et, au final la présence dans ces deux pays et en Iran d’architectures SCADA made by Siemens.

NB : Au printemps 2008, Richard Smith, directeur de recherches chez HP Systems Security Lab, avait évoqué la possibilité « d’attaques PDOS » ou Permanent Denial-Of-Service. Ces attaques logiques provoqueraient des dommages irrémédiables aux architectures informatiques et à leurs applications primaires intégrés (firmwares). L’attaque PDOS produit des effets comparables ou identiques à ceux d’une bombe à pulsations électromagnétiques (EMP). La victime n’aurait pas d’autre solution que de remplacer un matériel devenu complètement inutilisable. L’ultime action de Stuxnet ressemblerait-elle à une attaque PDOS contre des technologies SCADA matérielles ou logicielles ?

Propagation par internet ou par clé USB, exploitation de quatre failles critiques, pilote d’architecture SCADA, certificats d’authenticité frauduleux, utilitaires-espions polyvalents, exfiltration sécurisée, détection de paramètres logiciels, prise de contrôle d’API… Quel esprit brillant a conçu cette merveille de « cybotage » ?

Qui ? Quand ? Comment ? Pourquoi ?

À moins d’un incroyable incident technique (aussi précis que récurrent !) dans la centrale de Bushehr, tous les regards se tournent vers Israël et les États-Unis.

L’état hébreu faisant à juste titre très peu de publicité sur ses capacités de cyberguerre, mon blog s’en est grâcieusement chargé dans les articles « Du logiciel-espion au raid aérien » et « Le raid cyber d’Israël en Syrie ». À la fin des années 1990, des hackers du Shin Bet firent preuve de leurs immenses talents en infiltrant l’architecture SCADA du dépôt de gaz de Pi Glilot. Aussitôt, ils prirent conscience de la possibilité de saboter à distance des infrastructures vitales. Confronté à un Iran potentiellement nucléaire, tenu de composer avec son appui américain peu prompt à une action militaire, Israël détient tous les mobiles pour neutraliser les installations nucléaires iraniennes par tous les moyens possibles et imaginables.

Dès lors, une arme cybernétique peut être considérée comme :

• Une alternative à des raids aériens. Pourquoi Israël qui a auparavant frappé net les installations nucléaires irakiennes et syriennes se priverait d’armes cybernétiques contre celles iraniennes ? Toutefois, on peut parier sans trop de risques qu’un cybotage massif et prolongé causera certes de sérieuses nuisances mais ne suffira guère à lui seul pour mettre fin au programme nucléaire perse.

• Le volet électronique d’une action militaire. Pour peu que l’état hébreu envisage un telle opération contre « l’Iranium », il n’aura droit qu’à un seul essai : le bon. Il devra donc tout mettre en oeuvre pour faire mouche au premier coup et assurer des trajets aussi sûrs que possible aux escadres de L’Israeli Air Force. Cette dernière détruirait physiquement les installations nucléaires clés pendant que le Shin Bet infligerait des cybotages en règle aux installations de moindre importance. Parallèlement ou préalablement, un savant brouillage par déception aveuglerait la défense anti-aérienne iranienne et des cyberattaques massives paralyseraient les réseaux électriques et télécoms iraniens. En plus clair, l’intelligence stratégique reposerait sur une coordination extrêmement efficace des volets aérien et électronique d’une action militaire de choc.

• Un instrument de représailles extrêmes au cas où l’Iran parviendrait tout de même à se doter de l’arme nucléaire et menacerait effectivement l’état hébreu. Fort des détails techniques sur les architectures SCADA iraniennes (obtenus par des moyens informatiques et humains), Israël « cyboterait » littéralement la totalité ou la quasi totalité des infrastructures vitales perses, causant des dégâts et des nuisances techniques similaires à ceux des bombardements aériens. Ce serait alors une première car la dissuasion cybernétique prendrait le pas sur la dissuasion nucléaire.

Tous ces scénarios conservent pleinement leur pertinence sous une perspective américaine. De la NSA au Cyber Command en passant par les drones hackers et les technologies satellitaires, les États-Unis sont actuellement la seule superpuissance disposant de moyens cybernétiques aussi colossaux que pointus. Leur usage massif contre l’Iranium éviterait une campagne militaire coûteuse, complexe, dangereuse et donc très incertaine. L’Irak et l’Afghanistan sont passés par là. L’Iran sera une toute autre histoire car à défaut d’une riposte adéquate, ses représailles tous azimuts – fermeture du détroit d’Ormuz, terrorisme international, « guerres hybrides télécommandées » – feraient basculer le Moyen-Orient, l’Asie centrale et la scène internationale dans l’inconnu.

Dans un futur conditionnel, des représailles ciblées contre des infrastructures vitales / des installations nucléaires, combinant armes cybernétiques et Prompt Global Strikes, causeront beaucoup moins de dégâts humains et matériels qu’une campagne militaire purement conventionnelle et mettront plus facilement la communauté internationale devant le fait accompli. Ce qui n’est pas nécessairement une bonne chose. La dissuasion post-nucléaire associera-t-elle des moyens conventionnels à des moyens cybernétiques ? Privé d’électricité, de télécommunications et peut-être d’armes nucléaires, l’Iran serait soumis à très rude épreuve avant de réagir / de nuire politiquement et militairement, laissant la possibilité à ses voisins arabes (qui ne se plaindront sûrement pas de son sort) et à son ennemi hébreu d’élaborer leurs contre-mesures et leurs lignes de défense.

Néanmoins, l’auteur de ces lignes déteste férocement les hypothèses qu’il a développées plus haut car trop linéaires et trop simples. L’Iran a certainement prévu des contre-mesures, des ripostes et des nuisances que nous ne pouvons imaginer, et de nombreux imprévus jalonneront cette route de l’Iranium qu’empruntent Téhéran, Tel-Aviv, Washington, ainsi que les capitales arabes et europénnes.

Une chose est sûre : la cyberguerre ne relève plus de la prospective ou de la science-fiction. Stuxnet est peut-être la première arme cybernétique à la fois tactique et stratégique car combinant les fonctions d’emploi et de dissuasion. Que nous réserve la prochaine génération de malwares ?

Charles Bwele, Électrosphère