Stuxnet️ ☢, quand les Etats se font la guerre à distance

Published in

INSA TC

6 min readNov 3, 2020

Dans cet article, on va parler un peu histoire dans le monde de la cybersécurité. Il est probable que beaucoup d’entre vous ayez déjà entendu parler de ce sujet car cela a fait beaucoup de bruit au moment des faits ainsi que plusieurs années après quand certaines entreprises de sécurité informatique et journalistes ont communiqués plus d’informations, et la preuve en est qu’on en discute même aujourd’hui, 10 ans plus tard.

L’objectif de cet article est de montrer comment à partir d’attaques informatiques on peut remonter le fil jusqu’à la source, même quand ce sont des secrets d’Etats très bien gardés, en théorie.

Je n’entretiens pas le suspens plus longtemps, comme vous l’aurez vu dans le titre il s’agit de l’attaque appelée “Stuxnet”. Il sera ensuite interessant d’en apprendre plus sur les protagonistes qui sont derrière tout ça, et vous allez voir vous ne serez pas déçu !

Stuxnet

Stuxnet est un ver informatique découvert en 2010, il ciblait des SCADAs (automates industriels) de centrifugeuses d’enrichissement d’uranium iraniennes en d’autre termes les systèmes qui contrôle la création de combustible nucléaire pour les centrales nucléaires iraniennes. [3]

Fun fact, il a même eu droit à son film-documentaire dédié Zero Days avec d’assez bonnes critiques, merci Hollywood !

Comment s’est déroulé l’infection ? Il faut savoir que le SCADAs en question n’étaient pas connecté à Internet. En fait on parle de “air-gap network” [8][9], c’est à dire que les PCs (eux connectés à Internet) étaient complètement isolés des SCADAs, donc finalement séparé par de l’air et le seul moyen est d’y accéder physiquement. C’est généralement ce qui est mis en place pour les équipements les plus critiques, comme pour nos centrifugeuses. Stuxnet utilise 2 failles zero-days Windows dont une qui intervient au branchement d’une clé USB (USB exploit), le virus se met sur la clé à ce moment là. Ensuite on attend que le possesseur de la clé vienne la brancher sur le réseau de SCADAs. Les automates étaient des appareils Siemens fonctionnant avec WinCC (Windows). Bingo le vers s’est propagé à rempli sont objectif [3].

Ensuite une fois placé sur les SCADAs, le vers faisait une élévation de droits en utilisant les mots de passe par défaut du système que Siemens déconseillait de changer pour ne pas perturber le bon fonctionnement du système (on partait de loin il y a 10 ans).[10]

Cette attaque visait plus généralement le programme national nucléaire de l’Iran (60% des infections en Iran), on estime qu’environ 1 000 centrifugeuses iraniennes ont été détruites avec Stuxnet, les autres appareils infectés ont eu un impact négligeable. Ils auraient pu noyer le poisson en faisant griller des CPUs mais ils ont préférés montrer qu’ils étaient capables de faire une frappe chirurgicale.

Révélations d’Edward Snowden (NSA Leaks)

Est-ce bien nécessaire que je présente Edward Snowden[1] en 2020 ? Personnage emblématique dans la lutte contre la surveillance de masse et défenseur de la vie privée.

De nationalité américaine, à 21 ans il a d’abord été soldat dans les forces spéciales pour venir en aide aux populations oppressées, suite à un accident le rendant invalide à poursuivre son service, il a travaillé pour la CIA (Central Intelligence Agency) et ensuite la NSA (National Security Agency).

Avec cette courte ébauche, vous pourriez vous dire que l’on a affaire à un patriote américain très impliqué et vous n’auriez pas tord car c’est un peu vrai ! Cependant il était donc agent secret, au sens littéral donc si on connait aujourd’hui son identité c’est que tout ne s’est pas passé comme prévu…

En effet, il savait déjà que pour des intérêts militaires, politiques et économiques, certaines nations étaient surveillées tant avec l’espionnage sur le terrain qu’avec la cyber-surveillance (plus large et souvent moins risquée). C’était sans compter qu’avec le temps et ses niveaux d’accréditations augmentant au sein de la NSA il s’est rendu compte que le contrôle était beaucoup plus répandu qu’il ne l’imaginait : surveillance de masse mondiale (y compris les citoyens lambdas) mais ce qui le dépassait par dessus tout, c’était la surveillance généralisée et l’atteinte à la vie privée de tous les citoyens américains, dont sa famille et lui-même.

La découverte d’outils de renseignement tels que PRISM et XKeyscore pour les plus connus, qui sont de véritables sondes d’informations de tout l’Internet, l’a profondément mis dans un état de psychose et de culpabilité. [2] Le 5 juin 2013, cet état l’a poussé à rendre public un bon nombre de document classifiés secret défense à l’aide de plusieurs médias.

Equation Group

Le groupe Equation est un groupe de cyber-espionnage de haut niveau avec des outils et pratiques très sophistiqués et complexes. Le nom leur a été donné par la société Kaspersky, pour leurs affinités avec les algorithmes de chiffrements, leurs méthodes d’obfuscations et la complexité de leurs attaques. Beaucoup d’entités ont travaillé pour démasquer le groupe mais Kaspersky (entreprise de cyber-sécurité russe, tiens donc…) est celle qui a mis le plus de ressources et de moyens pour venir à bout de leurs attaques [4]. Ils ont documenté près de 500 infections qui ont touché au moins 42 pays [5].

Vous devez vous demander quel est le rapport entre Stuxnet et les révélations de Snowden sur la NSA ? Et bien c’est le groupe Equation qui était le chaînon manquant.

Dans leurs papier, Kaspersky explique bien le lien entre Stuxnet et le groupe Equation[4]. Ils mettent en évidence que Stuxnet utilise 2 failles zero-days qui sont aussi utilisées dans Fanny, un vers dont on est sûr qu’ils en sont à l’origine, les 2 utilisent le même vecteur d’infection (USB exploit) et seulement 2 ans les séparent, trop de similarités pour penser à un hasard.

C’est un 2ème acteur qui a travaillé sur les liens reliant l’attaque Stuxnet à la NSA, les “Shadow Brokers” aussi très impliqués dans la lutte contre le groupe. En 2016, les SB ont pu récupérer des fichiers appartenant au Groupe Equation[6]. Maintenant, revenons sur les révélations de Snowden, ils ont pu faire correspondre des noms de fichiers ainsi que du code source[7] qui rapprochait directement le groupe avec le service de renseignement américian.

Nous avons vu qu’avec le travail de journalistes, Edward Snowden, Kaspersky et encore Symantec (dont je n’ai pas parlé), on a été capable de remonter d’une attaque informatique très virulente et destructrice jusqu’à la NSA. C’est là qu’on voit le pouvoir de l’information et d’Internet qui permet de la distribuer très vite au plus grand nombre. On parle quand même d’un secret d’Etat, à priori bien protégé qui a été révélé au grand jour par une poignée de personne.

Pourquoi c’est important de savoir tout ça ? Les Etats prennent parfois de grandes libertés sur leurs actions et méthodes car ils pensent être intouchables et invisibles aux yeux de tous. Parfois l’éthique et la morale sont mises à rude épreuve avec tout ce qui est surveillance de masse et sabotage pour nuire. La connaissance de ce genre d’affaire permet à la fois d’éveiller les consciences pour se dire “oui c’est possible” mais également à remettre dans les rails les Etats qui vont trop loin. Ces Etats deviennent une menace et les citoyens deviennent méfiants à leurs égards. De cette manière, si je vous demande comment vous voyez la NSA, il y a plus de chances que ça vous évoque quelque chose de négatif plutôt que l’inverse. Justement parce qu’à leur tour, ils deviennent surveillés.

Cet article touche à sa fin. J’espère que vous aurez apprécié sa lecture. Merci et à bientôt !