Le code source du ver Stuxnet publié sur Internet !


Stuxnet est un ver infectant les ordinateurs tournant sous Microsoft Windows qui a été découvert en juillet 2010, dont le but est de détruire certains logiciels et équipements industriels.

Même si ce n’est pas la première fois que des pirates informatiques ciblent des systèmes industriels, c’est bien le première fois que ce genre de programme malveillant est découvert. C’est aussi le premier à inclure un contrôleur logique programmable (PLC) de rootkit.



Stuxnet est conçu pour modifier la programmation des automates programmables industriels (API) utilisés dans des installations. Dans un environnement ICS, les automates automatisent les tâches industrielles comme la régulation du débit pour maintenir la pression et la température.

Ce ver a durement frappé l’Iran, mettant à mal leur programme nucléaire…

Le code source (à priori issu d’un dé-compilateur) est téléchargeable ici : http://www.multiupload.com/BDNYSCY5PC

Vidéo de présentation de Stuxnet par Hungry Beast :




Source : http://www.undernews.fr/malwares-virus-antivirus/le-code-source-du-ver-stuxnet-publie-sur-internet.html




Combat informatique et cyberguerre contre l'Iran


Et l’attaque d’Israël a bien eu lieu en septembre 2009 mais à l’aide du virus Stuxnet qui a rendu inutilisables une partie des centrifugeuses iraniennes. Le code qui a été introduit dans les ordinateurs iraniens est encore actif et, grâce à des fonctions dormantes, ses effets néfastes lui permettent d’évoluer et de commettre d’autres sabotages. Cette désorganisation des moyens de contrôle des centrifugeuses à poussé les russes à demander le report de la mise en service de la centrale de Bushehr qui a commencé tout juste à fonctionner le 10 mai.

Meir Dagan avait ouvertement estimé en janvier 2011 que le sabotage des installations iraniennes avait porté ses fruits. Il avait assuré, devant la commission de la défense de la Knesset, que le programme nucléaire de Téhéran avait pris un retard de «plusieurs années». Il est encore sorti de sa réserve le 6 mai 2011, à l’Université hébraïque de Jérusalem, en évoquant l’éventualité d’une frappe militaire contre les installations nucléaires iraniennes. Il a radicalement repoussé une telle éventualité comme étant «la chose la plus stupide que j’ai jamais entendue.»

Il a ainsi confirmé les difficultés de distinguer les infrastructures nucléaires civiles des militaires. Par ailleurs, venant d’un officier qui a été à la tête d’un service qui a souvent commandité des actions réprouvées par le droit, il a usé d’une argumentation juridique pour étayer son propos: «L’AIEA contrôle les installations civiles pas les secrètes. Une frappe sur ces installations serait manifestement illégale au regard du droit international».

De nombreuses voix se sont élevées contre la mise en doute des capacités de l’aviation israélienne puisque Meir Dagan a estimé qu’elle ne pourrait pas atteindre toutes ses cibles. L’ancien chef du Mossad estime que frapper l’Iran n’est pas insoluble techniquement et que Tsahal sait le faire mais: «l’attaque israélienne sera suivie par une guerre avec l’Iran. C’est le genre de chose où l’on sait comment ça commence, mais pas comment cela finira.» Ces prises de position prudentes expliquent les atermoiements du premier ministre Benjamin Netanyahou.

Meir Dagan a interprété par ailleurs à sa façon les révolutions arabes qui n’ont pas «engendré de tsunami de changement au Moyen-Orient». Selon lui, seule une révolution de palais s'est produite en Egypte où les Frères Musulmans n'ont aucune chance de prendre le pouvoir. L’armée qui détient des pans entiers de l’économie égyptienne ne laissera pas faire. Pour Meir Dagan, les révolutions ont surtout déstabilisé le régime iranien qui semble à présent surtout occupé à éviter la contamination populaire chez lui et en Syrie.

L’Iran est affaibli par les troubles syriens qui mettent en danger le soutien matériel massif apporté au Hezbollah libanais. «Ce serait mieux pour Israël si le président syrien Bachar el-Assad était écarté du pouvoir parce que cela fera cesser l’aide au Hezbollah, et affaiblira l’influence iranienne». Il estime que s'il perdait le pouvoir cela permettrait le renforcement du camp sunnite en Syrie et dans le monde arabe en consolidant les pays «modérés» sunnites comme l’Arabie saoudite, le Bahreïn et la Jordanie, considérés par Israël comme des alliés potentiels. Mais toute action contre l’Iran risquerait de les voir tomber par solidarité dans le camp des Mollahs. En conséquence, l’Iran semble aujourd'hui à l’abri d’une action israélienne sauf si l’ancien chef du Mossad cherche à «enfumer» les médias.


Source : http://www.news-26.com/proche-orient/497-israel-liran-nest-plus-une-menace.html




Comment le virus Stuxnet s'en est pris au programme nucléaire iranien

Les experts sont maintenant convaincus que le virus a été conçu pour s'attaquer aux centrifugeuses de Natanz utilisées par Téhéran pour enrichir l'uranium.



Les experts commencent à en savoir plus sur le virus Stuxnet qui a contaminé les ordinateurs iraniens et notamment ceux utilisés dans son programme d'armement nucléaire. Les chercheurs américains et allemands ont décortiqué le programme informatique du virus qui, contrairement aux autres de type «familiaux» semble aujourd'hui clairement avoir été conçu «sur mesure». Ils sont à présent convaincus qu’il a même été fabriqué pour s’attaquer spécifiquement aux sites nucléaires iraniens. Ils ont poussé leurs analyses jusqu’à préciser que Stuxnet devait saboter exclusivement les alimentations électroniques des centrifugeuses nucléaires. Ils ne sont pas encore venus à bout de tout le code qui s’imbrique comme un puzzle à l’intérieur du système de contrôle informatique d'une usine, mais la tâche n’était pas aisée. Il semble aujourd’hui qu’ils aient réussi à détecter l’un des objectifs précis de cette arme de destruction nouvelle génération.

Contrôle des moteurs des centrifugeuses

Les chercheurs américains ont constaté que le virus avait la capacité de prendre le contrôle des processus industriels d’une centrale nucléaire mais la finalité de l’opération était encore trouble car cette prise de contrôle semblait passive. Après analyse du code du virus, ils sont parvenus à la même conclusion que les experts de la société de sécurité informatique Symantec. L’objectif du virus consistait formellement à atteindre la centrale de Bushehr et les centrifugeuses nucléaires de Natanz.

Les concepteurs de ce virus n’ont pas seulement réussi à attaquer spécifiquement le système interne de contrôle des ordinateurs Siemens (PLC) qui gèrent le programme nucléaire iranien. Ils ont surtout permis au virus d’identifier précisément ses cibles grâce à leur identification informatique et de bloquer la fabrication de combustible enrichi sans créer de risque d'explosion ou d'incident majeur. Le but était d’atteindre le convertisseur de fréquence, conçu uniquement en Finlande et à Téhéran, chargé de gérer la rotation des moteurs des centrifugeuses, par l’intermédiaire du système PLC de Siemens qui envoie les commandes de réglage de la vitesse des moteurs de production. Le virus Stuxnet a réussi à cibler les lecteurs spécifiques chargés d’intervenir dans la vitesse, nécessairement élevée, de la centrifugeuse dont le rôle est de séparer physiquement les isotopes de l’uranium pour fabriquer un combustible nucléaire hautement enrichi.

Le chercheur Eric Chien, de Symantec, explique dans son blog que les experts ont trouvé dans le code de Stuxnet des éléments prouvant qu’il était capable de ralentir cette vitesse pour empêcher le raffinage ou alors de l’augmenter pour entrainer l’explosion des centrifugeuses. Il avait même le moyen d’alterner petite et grande vitesse des moteurs pour saboter complètement le fonctionnement normal:

Citation :

«Stuxnet modifie la fréquence de sortie et donc la vitesse des moteurs pour de courts intervalles pendant des mois. Intervenir dans la vitesse des moteurs sabote le fonctionnement normal du contrôle des processus industriels.»

Un expert allemand de la cyberguerre Ralph Langner, longuement cité à la fois par le New York Times et le Jerusalem Post, est encore plus catégorique. Selon lui, Stuxnet a été surtout conçu pour faire exploser les centrifugeuses:

Citation :

«Un objectif raisonnable de l'attaque consistait à détruire le rotor de centrifugeuse par les vibrations, ce qui provoque l’explosion de la centrifugeuse.»

Et l'attaque contre Stuxnet a été suivie, toujours selon Ralph Langner, d'une seconde attaque différente, «une deuxième frappe» qui visait cette fois la centrale de Bushehr et les systèmes de contrôle de la turbine du réacteur nucléaire.

Unité militaire 8200 de Tsahal

Ces découvertes, confirmant que la centrale de Natanz a bien été infectée par Stuxnet en 2009, sont corroborées par l'Agence internationale de l'énergie atomique qui a noté une baisse brutale du nombre de centrifugeuses en activité sur le site de Natanz. Les experts ont ensuite constaté que Stuxnet avait une capacité à se reproduire dans les systèmes complexes à plusieurs automates interconnectés, comme à Bushehr. Il était capable de se mettre en veilleuse au moment du remplacement des centrifugeuses défectueuses, pendant quelque temps, pour permettre un fonctionnement normal qui empêcherait sa détection et puis ensuite, de lancer à nouveau sa cyber-attaque. L’intérêt d’une telle attaque réside dans la possibilité de toucher des centrales nucléaires secrètes non détectées à ce jour.

Stuxnet a été au départ mal compris car le virus en s’attaquant aux systèmes industriels informatiques internes de Siemens a touché des cibles secondaires comme les forages pétroliers et gaziers et les systèmes d’approvisionnement en eau. L’idée de l’attaque spécifique des sites nucléaires n’a pas alors semblé évidente à certains experts et aux autorités iraniennes. Elle est confirmée aujourd’hui.

Les experts qui ont décortiqué le code de Stuxnet sont ainsi convaincus que seuls des pays à haute capacité technologique peuvent être à l’origine de sa conception et notamment pointe les Etats-Unis et Israël. Ralph Langner évoque «un chasseur F-35 arrivant sur un champs de bataille de la première guerre mondiale». Il estime qu'il a fallu des années de travail pour créer des virus aussi sophistiqués et précis.

On évoque à nouveau l'existence de l’unité militaire 8200 de Tsahal qui aurait réalisé, avec la collaboration américaine, ce virus destructeur. Israël et les Etats-Unis sont d’ailleurs les seuls pays qui cherchent à s’attaquer directement au programme d'armement nucléaire de l’Iran. Mais là encore, on ne prête qu’aux riches.


Source : http://www.slate.fr/story/30471/stuxnet-virus-programme-nucleaire-iranien

Après le virus Stuxnet, voici Duqu


L’année dernière, l’on apprenait l’existence d’un virus informatique particulièrement sophistiqué, appelé Stuxnet, qui ciblait particulièrement les logiciels Scada de Siemens afin de provoquer des dysfonctionnements dans des installations industrielles, voire de les détruires.

Et le programme nucléaire iranien avait été plus particulièrement atteint par ce malware, dont, selon la société de sécurité informatique Symantec, la mise au point aurait impliqué une équipe de 5 à 10 personnes personnes ayant un niveau et des connaissances informatiques que « seul très peu de spécialistes maîtrisent ». Et d’après le quotidien Haaretz, ce serait l’armée israélienne qui en serait à l’origine de Stuxnet, du moins si l’on en croit les déclarations officieuses du général Gabi Ashkenazi, son ancien chef d’état-major.

Mais après Stuxnet, voilà qu’un autre virus de la même trempe vient d’être découvert par Symantec [ http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/w32_duqu_the_precursor_to_the_next_stuxnet.pdf ]. Appelé Duqu, il s’agirait d’un « ver » chargé d’espionner certaines entreprises européennes dont l’identité n’a pas été dévoilée, en récupérant des données confidentielles en vue de préparer de futures attaques contre leurs infrastructures. Et, toujours selon la société de sécurité informatique, il serait capable d’enregistrer les frappes sur claviers afin d’obtenir des mots de passe

Autrement dit, Duqu serait le précurseur à d’autres Stuxnet, et permettrait ainsi de préparer de nouveaux sabotages industriels. En revanche, le mode par lequel il a été introduit dans les systèmes des entreprises concernés n’est pas encore précisément connu. Il se peut qu’il les ait contaminés via une clé USB, ou bien un courriel piégé. Ce que l’on sait également, c’est qu’il s’auto-détruit au bout de 36 jours d’activité, ce qui est de nature à le rendre pratiquement indectetable.

Reste maintenant à savoir qui est derrière ce nouveau virus. Toujours d’après Symantec, il s’agirait de la même équipe qui a conçu Stuxnet, les deux codes sources entre les deux maliciels étant identiques à 50%.

Mais pour autant, cela ne veut rien dire car il est tout aussi probable qu’une autre équipe de pirates qui aurait travaillé sur la base du code source de Stuxnet, lequel circule sur Internet, en soit à l’origine.


Source : http://www.opex360.com/2011/10/21/apres-le-virus-stuxnet-voici-duqu/