Suite aux révélations concernant les sources et objectifs des cyberattaques les plus élaborées (Stuxnet, PoisonIvy, Night Dragon, DuQu, Flame et j’en oublie), il est étonnant que certaines bonnes questions ne soient pas posées dans les medias.

Dans ce billet, je passe en revue cinq questions qui m’ont effectivement été posées, et dont les réponses peuvent être gênantes, justifiant leur manque de médiatisation ?

1) Pourquoi Stuxnet bénéficie-t’il encore de mises à jour ?

Les versions de Stuxnet identifiées chez Kaspersky sont « numérotées » Stuxnet.a, .b etc… Le 23 décembre 2011 Kaspersky a identifié la version « .ai », qui selon un billet de Joe Weiss serait la 43e version…

Stuxnet était un « missile à tête chercheuse » visant l’usine d’enrichissement d’uranium de Natanz, et qui d’ailleurs a atteint sa cible. Depuis qu’il a été détecté à l’été 2010, ses « exploits » et modes d’actions on été décrytés, et les installations critiques sont à présent à l’abri. Pourquoi continuer de consacrer des moyens à sa mise à jour ?

Tentative de réponse…

Stuxnet n’a jamais réellement été éradiqué, et continue de causer de réelles difficultés, non plus à Natanz (quoique, allez savoir ?), mais dans d’autres installations. Un ingénieur en informatique industrielle iranien a récemment écrit un article passionnant (ici, en anglais approximatif mais compréhensible) expliquant l’extrême difficulté qu’il avait à se débarrasser de Stuxnet (dans une installation privée « normale » en Iran), et a même fait une étude prouvant qu’aucun anti-virus du marché ne parvenait à éradiquer l’ensemble des versions de Stuxnet qui étaient apparues dans son usine !

Un rapport du CERT ICS dresse un tableau de l’évolution des cyber-attaques contre les sites industriels critiques américains (quintuplées entre 2010 et 2011), et indique par ailleurs que lors des interventions pour secourir les sites, ils ont identifié et éliminé une occurrence de Stuxnet aux Etats-Unis !

Stuxnet reste une attaque très efficace, d’autant plus qu’elle bénéficie de mises à jour. Stuxnet continue de perturber des activités en Iran au moins, et reste une menace globale du fait de sa virulence, tout comme son frère DuQu, et cousin Flame…

2) Pourquoi DuQu a-t’il été trouvé en Europe de l’ouest ?

DuQu a bénéficié de la même « plateforme » de développement logiciel, et des mêmes « exploit 0-day » que Stuxnet, ce qui ne laisse aucun doute sur sa paternité américaine, comme d’ailleurs l’ont démontré plusieurs auteurs, (avec pour une fois un résumé en français ici). En effet, le département d’Etat américain a reconnu en mai 2012 que Stuxnet faisait partie d’un large programme de cyber-guerre, lancé par G.W.Bush et continué par B. Obama, ce qui a été largement commenté notamment dans un article du New York Times du 1er juin.

Or DuQu, contrairement à Stuxnet, était un « APT » (advanced persistant threat), visant à s’installer discrètement sur un poste informatique, via une pièce jointe dans un email, donc fortement ciblé. On peut retrouver ces détails dans un précédent article sur ce blog. Il ne se répliquait pas automatiquement, mais pouvait recevoir des mises à jour et des ordres de son serveur « contrôle-commande » (donc a priori des américains), ordres tels que « efface-toi » ou « infecte tel autre poste sur le réseau ».

DuQu a été détecté sur des sites européens, notamment en Grande-Bretagne et en France, ce qui signifie en principe que des entreprises ou institutions européennes (les cibles n’ont pas été révélées) auraient été spécifiquement ciblées par les Etats-Unis !

On voit que poser la question amène une réponse diplomatiquement troublante… Est-ce pour cette raison que la question n’a pas été officiellement posée, ou bien pour une raison plus basique ? (un « forward » de l’email avec pièce jointe d’un site proche-oriental infecté vers un site européen ?)

3) Peut-on encore faire confiance aux fournisseurs ?

Malgré les dénis (maladroits selon Ralph Langer) de Siemens en 2010 après la découverte de Stuxnet, Siemens est un fournisseur historique de l’industrie iranienne, en particulier de la filière nucléaire. D’ailleurs l’ingénieur précédemment cité (qui a écrit un article sur les ravages que continue de faire Stuxnet en Iran), travaille pour NEDA Industrial Group, un partenaire de Siemens en Iran.

Or un livre récent, disponible en français sous le titre « Les guerres secrètes d’Obama », contient un chapitre très intéressant et très bien informé sur les cyber-guerres menées par les Américains. Cela soulève plusieurs questions, dont l’une est de savoir si les USA sont en guerre contre l’Iran, question que se pose le Figaro dans cet article.

Une autre question, que l’on m’a posée lors de sessions de travail, est de savoir dans quelle mesure Siemens était impliqué. Jusqu’à publication de ce livre, je répondais qu’a priori il n’y avait pas besoin de l’aide de Siemens pour créer Stuxnet, les failles S7 (automates) et Step7/WinCC (programmation des automates, SCADA) étaient faciles à trouver et à exploiter, comme démontré durant l’été 2011 (voir l’article de ce blog sur ce sujet).

Cependant, selon ce livre, il semblerait qu’il y ait eu une collaboration active, non pas forcément pour développer Stuxnet, mais pour permettre son « injection » dans l’usine de Natanz, ce qui est analysé par Ralph Langer dans un article intitulé « The contractor ».

La réponse de Ralph et ses conséquences

A la question « à qui peut-on faire confiance », Ralph répond « à personne », et même pas aux partenaires et fournisseurs historiques et « respectables ». Son analyse est que les fournisseurs, notamment du fait de leur forte implication dans les projets industriels, représentent aujourd’hui une source de menace majeure, et sont l’un des principaux risques à gérer en termes de cybersécurité.

En effet, un fournisseur malveillant peut facilement nuire à l’installation (soit lors du chantier, soit en maintenance), et vue la multiplication des intervenants sur les chantiers cela pose un vrai défi aux responsables de la sécurité.

Mais de plus, même sans volonté de nuire, la seule négligence des fournisseurs est déjà un problème :

• soit qu’ils risquent de « contaminer » une installation avec des virus « standards », du fait de postes informatiques mal protégés : êtes-vous certains que tous les intervenants sur votre chantier ont des outils informatiques à jour en termes de sécurité, et sont formés au risque de cybersécurité ?
• soit, si les règles de sécurité informatique sont laxistes chez le sous-traitant, ils peuvent être eux-même infiltrés et servir de vecteur d’attaque pour par une tierce partie.

4) Pourquoi ne peut-on pas incriminer la Chine ?

Parmi les « APT » découverts en nombre en 2011, figure DuQu, déjà mentionné, mais aussi « Poison Ivy » qui est un « logiciel d’adminitration distant (RAT) bénéficiant d’une vraie distribution officielle avec licence, et qui exploite entre autres une faille Adobe Flash,  et « Night Dragon », une autre plateforme utilisant des attaques via sites web infectés.

Ces différentes attaques ont été découvertes en 2011 dans de nombreuses administrations et entreprises d’envergure, et avaient pour but le vol d’information. La presse a fait état de quelques unes, notamment en France, mais il y a eu des centaines d’attaques découvertes en 2011, qui duraient quelquefois depuis plusieurs années. Le vol de données a été massif, et les impacts (perte de compétitivité, voire de sécurité) sont difficiles à mesurer.

Si la paternité de Stuxnet, DuQu et Flame ne fait plus de doute, surtout depuis que les USA l’ont revendiquée, les sources des autres attaques restent à prouver.

Google, puis de nombreux organes de presse, désignent explicitement la Chine comme étant à l’origine de la plupart de ces attaques : lire par exemple cet article du New York Times, ou cet article de Computer World.

En dehors des journaux (et blogs !) indépendants, personne ne désigne la Chine, bien que, comme l’a analysé par exemple  McAfee dans l’appendice B de son livre blanc consacré à Night Dragon, de nombreux indices y conduisent.

Réponses possibles et conséquences…

Pourquoi ne peut-on pas incriminer directement la Chine ?

• évidemment parce qu’apporter la preuve est impossible. En théorie cela peut être un « coup monté » complexe, et à répétition…
• quelle société / pays prendrait le risque d’ouvrir les hostilités légales / diplomatiques ?

Conséquences : c’est un bon rappel que les attaques informatiques, même mal camouflées, restent anonymes, et qu’apporter la preuve de l’origine des attaques est à peu près impossible. Il ne faut donc pas compter sur les tribunaux pour obtenir réparation. Le risque est donc d’autant plus important et à prendre au sérieux.

Par exemple… il apparait urgent de prendre des mesures pour contrôler le trafic internet sortant des entreprises, seule manière efficace aujourd’hui de limiter la fuite d’information par APT – pourtant, elles sont encore minoritaires (y compris certaines grandes sociétés) à avoir pris les mesures nécessaires. C’est aujourd’hui inexcusable.

5) Flame, Stuxnet, DuQu, et puis ?

La chronologie est bien celle-là : Flame est antérieur à Stuxnet (donc a été « meilleur » car détecté après plus de temps en fonctionnement…). De plus Flame et Stuxnet/DuQu sont cousins : ils ont été développés avec des « ateliers logiciels » distincts, mais partagent les mêmes exploits 0-day inconnus à l’époque. Ceci, entre autres analyses sur l’historique des évolutions, a convaincu les experts des éditeurs d’anti-virus que leurs auteurs étaient dans la même organisation (états-unienne). Je n’ai pas développé sur ce blog le cas de Flame : si vous avez raté l’épisode, un bon article en français est disponible sur le site de Kaspersky, avec des liens vers une « FAQ » bien renseignée (en Anglais).

Bref, tous ces logiciels datent de près de 3 ans à présent. C’est aussi le cas des plateformes « Poison Ivy » et « Night Dragon ». Ils ont bénéficié de mises à jour comme vous avez pu le découvrir en suivant les différents liens de ce billet, mais il se pose une dernière question : y-a-t’il de nouveaux logiciels « espions », encore plus élaborés que ceux-ci, et pas encore découverts ?

Exercice d’ici au prochain billet : vous forger une opinion sur cette question !

Tags: CERT, Cyberguerre, DuQU, Failles, Flame, Stuxnet