Les quatre éléments

« Le code est relativement classique, mais intéressant d'un point de vue technique, puisqu'il consiste en un cheval de Troie doublé de technologies de type rootkit pour le rendre invisible », commente Eric Filiol, expert en sécurité et directeur du centre de recherche du groupe ESIEA (1). Qui ajoute que la bestiole, décidément coriace, utilise aussi des certificats numériques Verisign volés (à la firme Realtek, notamment) pour faire passer pour authentiques les pilotes Windows dont il a besoin.

Ce qui a étonné les experts en sécurité, c'est autant la qualité du code que la cible de Stuxnet. Car ce ver ne s'intéresse pas, comme les autres malwares, au PC de monsieur tout-le-monde, mais à des systèmes de contrôle industriels, que l'on trouve sur des sites sensibles : usines, centrales nucléaires ou de gestion de l'eau et on en passe. Ces systèmes, baptisés Scada (pour Supervisory Control And Data Acquisition ou commande et acquisition de données de surveillance), sont chargés de la gestion des mesures et commandes indispensables au bon fonctionnement d'un site industriel. Stuxnet sait choisir ses cibles et ne s'en prend qu'à des logiciels pour Scada spécifiques WinCC et PCS 7, commercialisés par Siemens et tournant sous Windows.

Ces programmes hautement spécialisés, servent à programmer depuis Windows, ce que l'on appelle des contrôleurs à logique programmable (PLC), des mini-ordinateurs essentiels qui assurent les fonctions automatiques dans une usine (par exemple la gestion de la température, des robots, de la vitesse des systèmes). Des mécaniques pointues, mais assurément parfaitement connues des créateurs de ce ver atypique. Dans un communiqué publié mercredi 22 septembre 2010, Siemens avouait d'ailleurs qu'après analyse, Stuxnet « n'apparaissait pas être le développement d'un hacker isolé, mais le produit d'experts en informatique ». L'entreprise suspecte que « cette équipe est composée d'experts doués de connaissances en ingénierie des contrôles industriels ».  Ainsi, même si le ver a contaminé plusieurs dizaines de milliers de machines à travers le monde, il s'est contenté de « dormir » sur celles qui ne l'intéressaient pas. « Stuxnet dispose de moyens pour identifier les machines. Il analyse les systèmes et recherche certains critères – un contrôleur particulier, notamment – pour cibler de manière sûre des machines industrielles », commente Eric Filiol. Siemens a revendiqué une quinzaine d'infections dans des usines.

Mais à quoi peut bien servir l'étrange Stuxnet ? Lors de sa découverte, on a bien évidemment cru à une nouvelle forme d'espionnage industriel. Mais après de longues semaines d'analyse du code, les chercheurs commencent à y voir plus clair. Et certains doutent qu'il s'agisse d'espionnage... Mais plutôt d'une tentative de cyber-sabotage. « Des investigations ont montré que le virus peut en théorie influencer certaines opérations dans le système de contrôle », indique Siemens. Par ailleurs, le Christian Science Monitor rapportait il y a quelques jours les découvertes du chercheur allemand Ralph Langner, qui a disséqué une partie du virus et pour qui il est clair que « Stuxnet est une cyberattaque dont l'objectif est de détruire des processus industriels dans le monde physique ». Une volonté de sabotage confirmée, d'après le CSM, par d'autres chercheurs américains.

Symantec a par ailleurs publié un long article technique qui explique le processus d'infection et en particulier comment Stuxnet parvient à... reprogrammer un PLC à la guise des pirates en interceptant et en modifiant comme il le désire les communications entre l'ordinateur infecté et le PLC.

En clair, Stuxnet serait donc capable de détraquer une machine chargée du bon fonctionnement d'un automatisme dans une importante infrastructure, comme par exemple... une centrale électrique. Heureusement, d'après Siemens, aucun bâtiment industriel touché n'aurait subi de dommages par le biais de ce ver, qui n'a apparemment rien modifié sur les systèmes des usines infectées.