Close
  • Français
  • English

19/11/2013Stuxnet en libre circulation : faux scoops et vrai problème [Par Stéphane Leroy]

Lors d’une conférence en Australie au club de la presse, Eugène Kaspersky, fondateur de la société d’antivirus éponyme, défendit, à forces d’anecdotes, l’idée que les réseaux déconnectés n’étaient plus à l’abri. Il n’en fallait pas plus pour que médias américains et israéliens s’emparent du sujet et déclarent, tout de go, que la Station Spatiale Internationale avait été infectée par le tristement célèbre Stuxnet. Une rumeur tout à fait fausse, qui occulte malheureusement les déclarations intéressantes de M. Kaspersky.

Décryptage d’une rumeur

Stuxnet a marqué les esprits : ce logiciel malveillant, dont la sophistication et le caractère spectaculaire ont fait couler beaucoup d’encre, revient fréquemment dans la presse et les publications comme un totem.

Quand M. Kaspersky s’est exprimé au sujet de Stuxnet à Canberra, il tenait avant tout à rappeler sa forte capacité de propagation.

Le malware est en effet un as de l’infiltration qui espionne, manipule et reprogramme des cibles choisies. Discret comme un Sioux et massivement disséminé en extérieur, Stuxnet peut pénétrer des réseaux air-gapped (soit déconnectés d’Internet) par le biais d’une clef USB. Une fois introduit, le logiciel-espion est capable de reconnaître sa cible : des Automates Programmables Industriels (API) à l’intérieur des systèmes SCADA (dans le cas iranien, les centrifugeuses programmables des centrales donc), et uniquement ceux développés par Siemens.

Ce n’est qu’une fois la cible reconnue et acquise que le logiciel-espion passe à la seconde phase de son opération : le sabotage en règle. Stuxnet est donc « une sorte de cyberarme », « un tireur d’élite numérique » codé dans le but de nuire de façon ciblée. Quel rapport avec la Station Spatiale Internationale alors ?

Tout simplement, le mode d’inoculation. M. Kaspersky faisait remarquer avec justesse que même une station spatiale, soit disant déconnectée, n’est pas épargnée puisque des astronautes, en introduisant des clefs USB contaminées, ont disséminé malgré eux des logiciels malveillants (heureusement que là-haut, ils tournent sous Linux). En faisant la confusion entre le vecteur et la nature du logiciel, la presse américaine a ainsi envoyé un peu trop tôt Stuxnet dans les étoiles

La vraie révélation de Kasperky ? Stuxnet circule encore, et les Russes y voient une opportunité

Malheureusement, l’histoire ne s’arrête pas là. M. Kaspersky a ainsi fait remarquer que Stuxnet avait également infecté une centrale nucléaire russe. Disons-le tout de suite : cela n’a rien d’extraordinaire. Outre l’Iran, d’autres pays ont déjà été infectés par Stuxnet (l’Indonésie, l’Inde, le Pakistan, les États-Unis et même la France…) et même le génial Kaspersky ne croit pas que cela posera des problèmes de sécurité dans l’absolu. Jusqu’à présent, la sophistication de cette cyberarme a empêché les dégâts collatéraux.La menace est en réalité ailleurs : toujours dans la nature, Stuxnet pourrait être récupéré par des tiers. Les programmeurs du logiciel-espion avait prévu cette éventualité et l’avait programmé pour qu’il disparaisse en 2012. Las, un bug du « ver » semble avoir rendu inutile ce garde-fou. Ainsi, si des cybercriminels doués ou des États parvenaient à s’emparer du code-source de Stuxnet (son « ADN »), ils pourraient être en mesure de le cloner, le modifier et l’utiliser à des fins redoutables.En exagérant un peu, c’est comme si l’on vous disait que le libraire du coin avait laissé en libre-accès les plans du Rafale.

Quels enseignements tirer de ces révélations ?

Qu’y a-t-il à faire ? Pas grand-chose. Même si un remède à Stuxnet a été trouvé par Symantec, le constructeur admet lui-même qu’il n’est pas infaillible. Cela ne suppose pas qu’il faille baisser la garde. Aujourd’hui plus qu’hier, il importe de mettre en place des services de cybersécurité sérieux, fiables et souverains. Les acteurs existent et, on ne le répétera jamais assez, la France a un incroyable talent… numérique.Pour autant, si l’on devait retenir une seule leçon de ces anecdotes, elle serait la suivante : les réseaux déconnectés ne sont pas à l’abri d’actes malveillants.Voilà qui donnera du grain à moudre aux chantres de la « balkanisation du Net », qui accueilleront la nouvelle avec des grincements de dents : dans le monde virtuel comme dans le monde physique, le nuage ne s’arrête toujours pas – hélas ! – aux frontières.