Stuxnet : La cyber-arme qui a détruit 1000 centrifugeuses iranienes
-
Aujourd’hui, je vais vous raconter une bonne blague. C’est l’histoire d’un virus informatique tellement balèze qu’il arrive à faire exploser des centrifugeuses à l’autre bout du monde. Non, c’est pas de la science-fiction, c’est Stuxnet, la première cyber-arme de l’Histoire qui a littéralement mis hors service 1000 machines iraniennes depuis un bureau confortable de la NSA. Une histoire de fou qui commence par des techniciens qui se grattent la tête dans une usine ultra-secrète et finit par redéfinir complètement les règles de la guerre moderne. Accrochez-vous, ça va secouer.
– Le ver Stuxnet - première cyber-arme de l’histoireNovembre 2009, quelque part dans les entrailles du complexe d’enrichissement de Natanz, en Iran. Un site tellement secret que même Google Maps faisait genre “ah non, y’a rien là”. Les techniciens n’y comprennent rien… Leurs centrifugeuses d’uranium IR-1 (des bêtes de course à 100 000 euros pièce) tombent en panne les unes après les autres, sans raison apparente. Bizarrement, tous les capteurs indiquent que tout roule et l’écran affiche des courbes parfaites, la pression est nickel, la température optimale mais en vrai, c’est Verdun dans l’usine. Plus de 1000 centrifugeuses rendent alors mystérieusement l’âme entre novembre 2009 et janvier 2010.
– Une cascade de centrifugeuses comme celles détruites à Natanz
Les mecs de l’Agence internationale de l’énergie atomique (AIEA) qui surveillent le site avec leurs caméras sont perplexes. Ils voient les Iraniens démonter des cascades entières de centrifugeuses, mais personne ne pipe mot. Comment des machines industrielles qui tournent à 90 000 tours/minute peuvent-elles claquer en série comme des dominos ? Et bien cette réponse va venir d’un endroit totalement WTF : les bureaux d’une petite boîte de sécu biélorusse paumée à Minsk, VirusBlokAda.
Le 17 juin 2010, un client de cette société débarque avec un PC complètement vérolé et les analystes de VirusBlokAda tombent sur un malware qui semble venir de l’espace. Ce truc fait 500 Ko ce qui est monstrueux pour un virus à l’époque où la moyenne c’était plutôt 10-20 Ko. Mais le plus dingue, c’est qu’il exploite pas moins de 4 vulnérabilités zero-day Windows d’un coup. Pour les non-initiés, une zero-day c’est une faille inconnue qui vaut des centaines de milliers de dollars sur le marché noir et en utiliser 4 d’un coup, c’est comme claquer votre salaire annuel au casino sur un seul numéro.
Du coup, les chercheurs en sécu du monde entier se jettent sur ce nouveau joujou. Arrive alors Ralph Langner, un Allemand barbu expert en sécurité industrielle et vrai geek des systèmes SCADA (Supervisory Control and Data Acquisition, les trucs qui contrôlent les usines, les barrages, les centrales…). Quand Ralph met les mains dans le cambouis de ce malware baptisé Stuxnet, il hallucine total. C’est pas juste un virus, c’est une putain d’arme numérique de précision chirurgicale.
– Automate Siemens S7 - la cible spécifique de StuxnetEt là, boom, la révélation fait l’effet d’une bombe atomique (sans mauvais jeu de mots) : Stuxnet a été développé conjointement par la NSA américaine et l’Unité 8200 israélienne dans le cadre d’une opération ultra-secrète au nom de code très James Bond : “Olympic Games”. Le projet, lancé par Bush junior en 2006 et boosté par Obama himself, avait un objectif simple : niquer le programme nucléaire iranien sans tirer un seul coup de feu.
Comme ça, plutôt que de balancer des bombes sur les installations iraniennes (ce qui aurait foutu le feu à tout le Moyen-Orient plus vite qu’un tweet de Trump) pourquoi ne pas simplement hacker leurs machines ?
Les Américains avaient découvert que les centrifugeuses de Natanz utilisaient des automates Siemens S7-417 connectés à des PC Windows XP pour leur supervision, soit une config parfaite pour infiltrer le système, surtout que les Iraniens se croyaient malins avec leur réseau “air-gapped” (déconnecté d’Internet).
Techniquement, Stuxnet c’était du grand art… un vrai Picasso du malware.
Voici comment ce petit salopard fonctionnait :
D’abord, côté propagation, le virus exploitait une faille dans le spouleur d’impression Windows (MS10-061 pour les intimes) qui permettait l’exécution de code via une simple clé USB. Branchez la clé, pouf, vous êtes infecté… Pas besoin de cliquer sur quoi que ce soit puisque le malware utilisait aussi des certificats numériques volés à JMicron et Realtek (deux fabricants taiwanais de puces) pour paraître légitime. Windows voyait alors un driver signé et disait “ah bah c’est bon, entre mon pote”.
Une fois dans la place, Stuxnet déployait un rootkit de compétition qui interceptait les appels système pour rester invisible. Il scannait ensuite méthodiquement le réseau à la recherche du logiciel Siemens WinCC/PCS 7, le truc qui contrôle les automates industriels et quand il trouvait sa cible, la vraie magie opérait.
– Le complexe d’enrichissement de Natanz vu par satelliteLe malware analysait la configuration des automates, il cherchait une config ultra-spécifique à savoir des Siemens S7-315 et S7-417 contrôlant entre 164 et 984 convertisseurs de fréquence de marque Fararo Paya ou Vacon NX et si ces conditions n’étaient pas réunies, Stuxnet restait en sommeil. Cette précision de sniper montrait que les développeurs connaissaient l’architecture exacte de Natanz. Du renseignement de très haut niveau.
Quand Stuxnet trouvait enfin ses centrifugeuses chéries, il déployait son payload en deux phases :
Phase 1 (2007-2009) : La version discrète. Le malware modifiait subtilement le code des automates pour perturber le système de protection des cascades. Il créait des surpressions en fermant et ouvrant les valves au mauvais moment. L’uranium hexafluoré (UF6) s’accumulait, la pression montait, et paf, les joints lâchaient. Mais c’était trop discret, les Iraniens remplaçaient les pièces sans trop se poser de questions.
Phase 2 (2009-2010) : Les Israéliens en avaient marre d’attendre. Ils ont modifié Stuxnet pour qu’il attaque directement les rotors. Le virus jouait maintenant avec la vitesse des centrifugeuses, les accélérant à 1410 Hz / 84 600 tours/minute, au lieu de 1064 Hz / 63 840 tours/minute, normalement… puis les ralentissant brutalement à 2 Hz / 120 tours/minute. Ouch !
Pour une machine qui tourne à 90 000 tours/minute avec des tolérances de quelques microns, c’était la mort assurée. Les rotors en fibre de carbone se déformaient, vibraient, et finissaient par exploser.
Mais le plus vicieux dans tout ça c’est que pendant que Stuxnet sabotait allègrement les machines, il envoyait de fausses données aux écrans de contrôle. Une technique du “man-in-the-middle” appliquée au monde industriel où les opérateurs iraniens voyaient des courbes parfaites, des pressions stables, des vitesses nominales. Tout semblait nickel Chrome alors que leurs centrifugeuses partaient en sucette. C’est comme si le tableau de bord de votre Dacia affichait 50 km/h alors que vous roulez à 200 dans un mur.
Et les dégâts ont été monumentaux. Selon l’Institute for Science and International Security, environ 1000 centrifugeuses ont été détruites entre novembre 2009 et janvier 2010, soit 10% de l’arsenal iranien. Le programme d’enrichissement a été retardé de 18 à 24 mois selon les estimations américaines. Mission accomplie.
L’histoire aurait pu en rester là, mais c’est là que ça devient encore plus fou. En juin 2010, Stuxnet s’échappe alors du réseau iranien. Les experts pensent qu’un technicien a branché sa clé USB perso sur un PC infecté, puis l’a ramenée chez lui. Le virus se répand alors dans la nature, infecte des milliers de machines dans le monde et c’est comme ça qu’il atterrit chez VirusBlokAda et que toute l’affaire éclate au grand jour.
L’Iran a d’abord fait genre “non mais on gère, y’a pas de souci”. Puis face à l’évidence, ils ont admis les pannes. Quand ils ont compris qu’il s’agissait d’une attaque coordonnée des États-Unis et d’Israël, la réaction a été brutale notamment avec la création immédiate d’une cyber-armée iranienne avec des moyens illimités. Depuis, l’Iran est devenu l’un des acteurs majeurs de la cyber-guerre, lançant des attaques massives contre les banques américaines (2012-2013), Saudi Aramco (2012), et même un casino de Las Vegas qui avait eu le malheur de virer un gros client iranien.
Mais surtout, Stuxnet a ouvert la boîte de Pandore de la guerre numérique. Avant 2010, les cyber-attaques c’était du vol de données, du défaçage de sites, du DDoS. Avec Stuxnet, on est passé dans une autre dimension : des attaques qui causent des dégâts physiques dans le monde réel. C’est la première fois dans l’Histoire qu’un virus informatique détruisait des infrastructures physiques.
Aujourd’hui, chaque grande puissance a son arsenal de cyber-armes. Les Russes avec NotPetya qui a causé 10 milliards de dollars de dégâts en 2017. Les Chinois avec leurs APT (Advanced Persistent Threats) qui siphonnent les secrets industriels. Les Nord-Coréens avec le groupe Lazarus qui braque les banques pour financer le régime. Même les groupes criminels s’y mettent avec les ransomwares qui paralysent hôpitaux et infrastructures critiques.
Ce qui est dingue avec Stuxnet, c’est surtout le niveau de sophistication et de préparation de l’attaque car les développeurs connaissaient :
- L’architecture exacte du réseau de Natanz
- Les modèles précis d’automates utilisés
- La configuration des cascades de centrifugeuses
- Les fréquences de rotation optimales et destructrices
- Les procédures de maintenance iraniennes
Certains experts pensent que les Américains et les Israéliens ont construit une réplique complète de Natanz dans le désert du Nevada pour tester Stuxnet. D’autres évoquent des taupes à l’intérieur du programme iranien. La vérité, on la saura probablement jamais.
– Les centres de cyberdéfense sont devenus essentiels après StuxnetL’ironie de l’histoire c’est que selon plusieurs sources, c’est une modification israélienne non-autorisée qui a rendu Stuxnet détectable. Les Israéliens, trop pressés de voir des résultats, ont boosté les paramètres d’attaque. Au lieu de détruire 100 centrifugeuses par mois discrètement, ils en voulaient 300. Résultat, les pannes sont devenues trop visibles, les Iraniens ont fini par tilter, et le virus s’est barré dans la nature.
Ralph Langner, qui a passé des années à analyser Stuxnet, a découvert un autre truc de malad : le malware embarquait en fait deux charges distinctes. Si la première était détectée et neutralisée, la seconde prenait le relais avec une approche différente. Les développeurs avaient même inclus une “kill date” (une date d’expiration après laquelle Stuxnet s’autodétruirait), sauf que le virus s’est échappé avant.
Et cela a prouvé que même les systèmes “air-gapped” peuvent être compromis… une clé USB, un technicien négligent, et hop, votre réseau ultra-sécurisé est vérolé. Ensuite, ça a montré qu’on pouvait mener une guerre asymétrique avec quelques mégaoctets de code. Pas besoin de porte-avions ou de missiles balistiques, juste des développeurs talentueux et beaucoup de renseignement. On peut alors paralyser un pays depuis son canapé, de manière anonyme et indétectable. Les réseaux électriques, les systèmes de distribution d’eau, les hôpitaux, les transports… tout est devenu une cible potentielle.
Et le pire c’est qu’il n’y a toujours pas de vraie défense contre ce type d’attaques. Les systèmes industriels utilisent souvent des technologies vieilles de 20 ans, impossibles à patcher sans oublier que dans une centrale nucléaire, on ne redémarre pas les systèmes comme on reboot Windows. Du coup, on se retrouve avec des infrastructures critiques qui tournent sur des OS obsolètes, truffés de failles connues.
Bref, 15 ans après sa découverte, Stuxnet reste LE cas d’école de la cyber-guerre. C’est le moment où on est passé du vandalisme numérique à la guerre totale. Un tournant historique comparable à Hiroshima pour le nucléaire.
Donc la prochaine fois que vous branchez une clé USB random trouvée dans le parking, pensez à Stuxnet. Dans un monde hyperconnecté, la frontière entre le virtuel et le réel n’existe plus, une simple clé USB peut déclencher une catastrophe industrielle.
Et quelque part dans des bureaux secrets de Langley, Tel Aviv, Moscou ou Pékin, des ingénieurs planchent sur la prochaine génération de cyber-armes… Faites de beaux rêves…
– Source :
https://korben.info/stuxnet-cyber-arme-centrifugeuses-iran.html
-
Autant, j’adore lire ces articles. Autant, ils sont souvent (tout le temps ?) un poil sur l’exagération/répétition des termes utilisés quand ils expliquent que ce sont “des cas d’école”, “le début du hacking”, “le début du piratage”, “le début du cyber espionnage”.
Sinon, ils nous expliquent que ce virus s’est propagé en dehors des sites iraniens. Mais tout les autres enrichisseurs étaient protégés ? Pas de news des français ? russes ? et autres ?
z’utilisent du linux ? ^^ -
Il faut te plaindre chez Korben
Bon après, il n’as pas tord non plus.
Ces articles font partie d’une série sur les débuts du hacking donc c’est quand même assez logique. -
@Popaul a dit dans Stuxnet : La cyber-arme qui a détruit 1000 centrifugeuses iranienes :
Sinon, ils nous expliquent que ce virus s’est propagé en dehors des sites iraniens. Mais tout les autres enrichisseurs étaient protégés ? Pas de news des français ? russes ? et autres ?
z’utilisent du linux ? ^^Pas seulement, quand ma boîte a eu vent de l’affaire, elle a séparé son internet en intranet protégé et internet, en scrutant attentivement, tout ce qui pouvait encore passer d’un à l’autre. A ma connaissance, il n’y a pas eu de bobo, mais je bossais avec deux pc, un sur chaque réseau
Edit: Je bossais justement sur du siemens et des systèmes scada à l’époque.
-
Le réseau ou s’est inséré Stuxnet était bien déco d’internet d’où la clé USB
C’était surtout l’IRAN qui était visé par Stuxnet.Beaucoup de chercheurs en sécurité pense d’ailleurs que lui ou une version amélioré est dormant sur le web et qu’il n’aurait pas disparu vu que la cyberguerre, c’est ce genre de truc. On a bien vu le chaos que ça peut foutre rien que sur des centrales électriques il y a peu de temps même si ce n’était pas la cause.
D’ailleurs un Intranet désolidarisé d’internet c’est la base.
Les VLAN’s non communicants aussiConcernant Linux ou Windows, peu importe… .Tout les systèmes sont vulnérables de la même manière
-
Je me souviens de cette histoire qui avait fait grand bruit à l’époque, ce fut même peut être plus efficace que les 14 GBU-57 larguées sur les sites d’enrichissement dernièrement.
