Le virus STUXNET
Transcription
Le virus STUXNET
DOSSIER VIRUS Le virus STUXNET De juillet 2010 à octobre 2010, Le virus STUXNET à causé énormément de soucis aux industries de plusieurs pays… Historique Il a été signalé pour la première fois par la société de sécurité VirusBlokAda (Biélorussie) mijuin 2010. Ces antécédents ont été retracés jusqu'à juin 2009. 15 juillet 2010, Le CERT publie l’existence d’une vulnérabilité exploitée par STUXNET. 16 juillet 2010, Microsoft publie les informations sur les failles Windows exploitées par le ver STUXNET. 8 octobre 2010, un outil de suppression du ver informatique Stuxnet est mis à disposition par BitDefender Données sur STUXNET Il s'attaque aux systèmes Microsoft Windows à l'aide de quatre attaques « zero day » (y compris la vulnérabilité CPLINK et la vulnérabilité exploitée par le ver Conficker) et vise les systèmes utilisant les logiciels SCADA WinCC/PCS 7 de Siemens. Il est inoculé par des clés USB infectées et contamine ensuite d'autres ordinateurs WinCC du réseau à l'aide d'autres exploits. La complexité du ver est très inhabituelle pour un malware. L'attaque nécessite des connaissances en procédés industriels, en failles de Windows. Le nombre d'exploits Windows « zero day » utilisés est également inhabituel tant ces exploits non découverts sont chers et ne sont pas normalement gaspillés par les pirates en en utilisant quatre dans le même ver. Stuxnet a une taille d'un demi méga octet et est écrit dans différents langages de programmation (y compris C et C++) ce qui est également peu courant pour un malware. Des chercheurs de Symantec ont indiqué que Stuxnet avait une date « de destruction » fixée au 24 juin 2012 Hypothèse : Origine iranienne afin de perturber le programme nucléaire Iranien. Le ver Win32/Stuxnet s’en prend à une faille dans Windows Shell Publié le mardi 20 juillet 2010par Emilien Ercolani Une faille dans Windows Shell, qui affecte de nombreuses versions de Windows, a été signalée par Microsoft dans un bulletin de sécurité. Celle-ci peut déjà être exploitée via le ver Win32/Stuxnet, référencé sous l’intitulé LNK/Autostart A, lequel vise particulièrement les systèmes de surveillance industrielle. Le 16 juillet, Microsoft a publié un bulletin de sécurité concernant une faille critique qui sévit dans Windows Shell. Celle-ci est susceptible d’être exploitée sur Windows XP (SP2, SP3), Windows Server 2003 et 2008 et 2008 R2, Windows Vista et Windows 7. Soulignons que Windows XP SP2 ne sera pas patché, étant donné que Microsoft a mis fin au support le 13 juillet. Plusieurs éditeurs de sécurité ont mis en garde devant ce problème de grande envergure. Pour Eset, « Le ver est utilisé pour effectuer des attaques ciblées de façon à pénétrer les systèmes SCADA, notamment aux États-Unis et en Iran. SCADA, Supervisory Control And Data Acquisition (télésurveillance et acquisition de données) désigne des systèmes de surveillance utilisés dans de nombreuses industries, par exemple dans l'ingénierie électrique ». Toujours selon l’éditeur, le ver a été actif pendant plusieurs jours, en particulier aux États-Unis et en Iran : près de 58% des infections sont signalées aux États-Unis, 30% en Iran et un peu plus de 4 % en Russie. Les particuliers seraient donc vulnérables, mais moins touchés, puisque « ceci est un exemple de malware assisté par ordinateur pour l'espionnage industriel ». Une dizaine de milliers de machines seraient déjà infectées par le ver Stuxnet. Le danger réside dans la vulnérabilité de l’OS Windows liée aux processus lancés par des fichiers .LNK. Le ver peut donc tirer parti des Autorun et Autoplay de Windows, et s’exécuter automatiquement. Il peut aussi se lancer depuis une clé USB. Une nouvelle faille Windows ciblée par des virus Publié le vendredi 23 juillet 2010par Stéphane Larcher L’éditeur Eset précise que de nouveaux malwares ont été découverts et que la tendance pourrait empirer dans les jours à venir. Une faille découverte mardi au sein de Windows et pour le moment non corrigée a déjà stimulé l’imagination des créateurs de virus. L’éditeur slovaque Eset vient en effet de révéler que deux nouveaux malwares viennent de faire leur apparition afin d’exploiter la faille liée à la manière dont Windows gère les fichier .link, lesquels sont utilisés pour les raccourcis. La vulnérabilité a en premier lieu été exploitée par le ver Stuxnet, découvert sur des ordinateurs iraniens le mois dernier. Particulièrement sophistiqué, le ver Stuxnet vise en priorité le logiciel de gestion des systèmes industriels Siemens et s’attache à voler les fichiers projets de ces systèmes SCADA. Le constructeur allemand a publié une mise à jour pour ses clients hier jeudi. En revanche, Microsoft n’a pas encore corrigé la faille qui permet au ver de se répandre. Pierre-Marc Bureau, chercheur pour Eset, a précisé que le nouveau ver était moins sophistiqué que Stuxnet. Toutefois, il permettrait de voler des mots de passe et autres données au travers de l’installation d’un « keystroke logger » sur la machine contaminée. Selon M. Bureau, le nouveau ver viserait pour le moment des ordinateurs situés aux Etats-Unis mais l’adresse IP associée renvoie en Chine. Pour le moment, le ver Stuxnet demeure faible en volume, moins de 1% du trafic de malwares observé par Eset sur l’Internet. Toutefois, un autre responsable de Eset précise qu’il ne serait pas surpris de voir des centaines voire des milliers de variantes de Stuxnet dans les semaines à venir. Bien que la nouvelle variante ne soit pas extraordinaire, la rapidité de création de nouveaux malawares pourrait poser problème dans la mesure où Microsoft n’a pas prévu – pour le moment – de délivrer de correctif avant son traditionnel « Patch Tuesday », lequel devrait intervenir le 10 août, soit dans près de 3 semaines. L’éditeur a toutefois publié une page offrant des conseils pour se protéger d’une attaque accessible à cette adresse. W32.Stuxnet infecte plus de 14 000 IP en seulement 72 heures Publié le 26/07/2010 par Beugré Jean-Augustin Suite à la détection de la menace W32.Stuxnet la semaine dernière, Symantec continue à l’analyser afin d’identifier la façon dont elle exploite les vulnérabilités, sa cible, ainsi que son objectif. L’équipe Security Response chez Symantec a découvert que W32.Stuxnet a déjà infesté plus de 14 000 adresses IP en seulement 72 heures, dont la plupart en Iran, pour accéder à des informations sensibles et notamment aux systèmes SCADA, qui pilotent les technologies industrielles dans des domaines tels que l’eau, l’électricité, le pétrole ou encore les substances chimiques. Elle est particulièrement dangereuse puisqu’elle peut dissimuler sa présence grâce à un système rootkit ainsi qu’en exploitant une vulnérabilité zero-day qui concerne toutes les versions Windows. Elle cible des logiciels utilisés pour contrôler des processus industriels SCADA, et démontre une profonde connaissance de ces outils. Cette menace réagit à deux niveaux : De façon automatique, comme la plupart des virus, mais également commandé à distance. Le virus a été détecté sur un serveur en Malaisie, mais la localisation d’une machine ne donne aucune information sur l’origine de l’attaque ni de l’attaquant. Symantec a pu rapidement prendre le contrôle en déroutant et bloquant le trafic vers ce serveur afin d’empêcher de contrôler les machines infectées et récupérer les informations. Comme souligne Laurent Heslault, Directeur des Technologies de Sécurité chez Symantec, sur son blog: • • • - Symantec ne connait pas la/les personnes derrière cette attaque.. - Si l’architecture de l’attaque se dessine (technologies, cibles, géographie…), la motivation reste très floue. - Il est clair qu’ils sont loin d’être des amateurs. Pour plus d’informations concernant sur W32.Temphid : http://www.symantec.com/connect/blogs/w32temphid-commonly-asked-questions 27 septembre 2010 - Stuxnet n'est pas clair Cyberguerre contre l'Iran ? Étrange histoire que celle de Stuxnet, un logiciel informatique malveillant (un "cheval de Troie") qui agite beaucoup le monde de la cybersécurité. Repéré depuis juillet, ce virus pourrait bien présenter la particularité d'être le premier vrai outil de cybersabotage (une arme de cyberguerre ou de cyberterrorisme, si l'on préfère) capable de s'en prendre sérieusement à des infrastructures vitales. Résumons : le virus se propage par des clefs USB et profite d'une faille de Windows, il est nocif et sophistiqué, il aurait été repéré en Inde et en Indonésie, il s'en prend à des systèmes dits Scada (Supervisory Control and Data Acquisition)... Jusque là rien de très passionnant pour le non spécialiste. Jusqu'à ce qu'il tique en lisant deux informations : Stuxnet s'en prend à des systèmes qui programment des automates de chez Siemens et 60 % des vers repérés l'ont été sur le territoire iranien selon Symantec. De là, certain ont commencé à déduire que Stuxnet, qui pourrait, par exemple mettre en panne une centrifugeuse, serait une arme secrète destinée non pas à prélever des informations secrètes, mais à paralyser la centrale iranienne d'enrichissement de l'uranium à Bushehr ou Natanz. Même si Siemens (qui avait installé certains des systèmes iraniens) le dément, l'hypothèse d'une attaque informatique (gouvernementale ?) contre la nucléarisation de l'Iran commence à avoir beaucoup d'adeptes. Stuxnet est-il spécifiquement dessiné pour attaquer la centrale iranienne ? Si oui en a-t-il la capacité ? Les Iraniens qui doivent quand même consulter les sites de sécurité sur Internet de temps en temps ne sont-ils pas en mesure d'arrêter cette attaque ? Ce sont trois questions auxquelles nous ne pouvons évidemment pas répondre. Au stade actuel, personne ne sait ni s'il s'agit d'une attaque israélienne, ni si sa cible principale est le système iranien d'enrichissement de l'uranium, ni si l'attaque peut (ou pouvait avant sa découverte) produire à elle seule (nous insistons sur cette notion "à elle seule", car combinée à une offensive classique, ce serait tout autre chose) des dommages comparables au bombardement de la centrale atomique irakienne d'Osirak il y a bien des années. En revanche l'affaire Stuxnet vient de réveiller un serpent de mer : le thème de l'attaque contre des infrastructures vitales. En clair : soit des services gouvernementaux, soit des pirates informatiques obéissant à des motivations pécunaires (mercenariat, chantage) ou idéologiques, soit les seconds travaillant au service des premiers, seraient en mesure de saboter des systèmes de contrôle importants : énergie, industrie, systèmes de circulation, de distribution, d'alerte, aéroports, centrales énergétiques, réseaux de communication, etc. Produisant à volonté un dommage difficile à réparer, créant éventuellement un tel désordre dans un pays que cela produirait des perte économiques importantes, des désordres, voire des morts, difficiles à détecter, et en tout cas à attribuer officiellement au vrai coupable, ces attaques sont le cauchemar de la cybersécurité. Elles marqueraient le stade où l'on passerait du vol d'information ou de la dégradation de systèmes informatiques faisant perdre du temps de réparation et de l'argent, à de véritables actes de guerre, comparables à l'usage d'armes létales sur un territoire étranger. Cette hypothèse, déjà évoquée à propos de l'Estonie en 2007. Dans tous les cas, (paradoxalement, car les services américains sont plus suspects que victimes dans cette affaire), cela nourrit le discours alarmiste aux USA, obsédés par la perspective d'un Cybergeddon ou d'un Pearl Harbour informatique. Au moment où le général responsable du "Cyber Command" américain n'envisage rien moins que la création d'un second Internet enfin sécurisé pour les agences gouvernementales US et les infrastructures industrielles stratégiques. L’Iran reconnaît avoir été touché par le virus Stuxnet Publié le lundi 27 septembre 2010 par Emilien Ercolani Spécialisé dans l’infection de systèmes informatiques industriels, le virus Stuxnet a bel et bien infecté 30 000 ordinateurs en Iran, « sans aucun dommages sérieux ». En revanche, le pays se dit victime d’une attaque lancée par l’Occident. Les relations déjà tendues entre l’Iran et le monde occidental, ne devraient pas s’arranger avec cette histoire. Le virus Stuxnet a infecté environ 30 000 ordinateurs, sans causer de dommages importants, a précisé le ministre des Télécommunications et des technologies de l'information, Reza Taqipour. En revanche, cette affaire pourrait enflammer les relations politiques avec d’autres pays. « Un gouvernement étranger est probablement à l'origine du virus », assure quant à lui Mahmoud Liayi, responsable des technologies de l'information au ministère de l'Industrie. Selon Symantec, il aurait fallu environ 6 mois, et des personnes bien informées sur leurs cibles, pour concevoir le virus pour des fins précises. Car il s’attaque uniquement à un programme de Siemens, utilisé dans les infrastructures industrielles, à l’image des centrales électriques et nucléaires, des oléoducs ou des plateformes pétrolières. Le logiciel visé, utilisé pour piloter ces installations, est de type SCADA pour « Supervisory Control and Data Acquisition ». Très dangereux, son but est la destruction « physique » des installations.Il utilise quatre vulnérabilités LNK de Microsoft. A ce jour, le groupe en a déjà corrigé deux. Pas uniquement l’Iran L’Iran ne serait d’ailleurs pas le seul pays touché par cette attaque informatique : l'Inde, l'Indonésie ou le Pakistan auraient également été visés. Un comité de crise a été mis sur pied en Iran, bien que le virus n'ait pas été capable « de pénétrer ou de causer des dégâts sérieux dans l'appareil gouvernemental ». Un responsable de la centrale nucléaire de Bouchehr qui doit ouvrir avant la fin de l’année, Mahmoud Jafari, a assuré que le virus ne les a pas touchés. « Tous les programmes informatiques fonctionnent normalement, et n'ont pas été endommagés par Stuxnet », a-t-il assuré, ajoutant que le chargement du combustible « se déroule selon le calendrier prévu et ne présente aucun problème ». L’Iran met fin à l’infection Stuxnet et arrête des espions Publié le lundi 4 octobre 2010par Johanna Godet L’Iran veut rassurer quant à la menace informatique qui pèse sur le pays depuis le mois de juin. A présent, l’ensemble des postes infectés par le ver Stuxnet auraient été nettoyés selon les dires du gouvernement iranien, et les espions à l’origine de l’attaque auraient été arrêtés. Après avoir finalement avoué que l’Iran avait été touché par le ver Stuxnet, Mohsen Hatam, vice-ministre de l'Industrie chargé de la planification a annoncé que le pays aurait mis fin à cette attaque et nettoyé l’ensemble des postes infectés. Il aurait admis que 30 000 ordinateurs iraniens ont bien été touchés par le ver Stuxnet. Malgré cette déclaration, le gouvernement continue d’affirmer que les systèmes informatiques des centrales nucléaires ont été épargnés. Suite à cette annonce, le ministère du Renseignement iranien a précisé que plusieurs espions présumés, qui seraient à l’origine du ver, viennent d’être arrêtés. D’après Heydar Moslehi, le ministre du Renseignement, ces hommes voulaient faire échouer le programme nucléaire iranien. Dans la lignée de la déclaration de Mohsen Hatam, qui nie toute présence du ver Stuxnet sur les ordinateurs des centrales, Heydar Moslehi a certifié : « les services de sécurité assurent une surveillance complète d'internet et ne permettront aucune fuite concernant le programme nucléaire iranien, ni la destruction de ces activités ». Les services de renseignement n’ont toutefois pas désiré s’exprimer sur le nombre de personnes interpelées ni sur les conditions de l’arrestation. Le ver Stuxnet continue les ravages aux Pays-Bas Publié le mardi 5 octobre 2010par Emilien Ercolani Plusieurs grandes entreprises hollandaises ont signalé des attaques par le ver Stuxnet. Une centrale nucléaire est en état d’alerte maximale. D'autre part, un antivirus aurait stoppé la propagation. « J’ai regardé le réseau et visiblement, nos systèmes en Inde et en Angleterre ont détecté le ver Stuxnet. Mais nous avons déjà résolu le problème, grâce à notre antivirus qui l’a attrapé », explique Willem Van der Craats, directeur de la sécurité informatique pour Vanderlande Industries, un constructeur de systèmes de distribution pour l’industrie. Vanderlande Industries utilise lui aussi un système de gestion de type SCADA pour « Supervisory Control and Data Acquisition », conçu par Siemens. C’est le même principe d’attaque qui avait été utilisé dans l’affaire des ordinateurs infectés en Iran. D’ailleurs, les autorités ont récemment annoncé avoir arrêté plusieurs espions. De son côté, la centrale nucléaire de Borssele est en état d’alerte maximal. « Nous sommes au courant de la circulation de ce virus depuis quelques temps. Nous avons rapidement été mis au courant des éventuels problèmes que l’on pourrait rencontrer. Nous avons déjà pris des précautions informatiques », explique un porteparole de la centrale. Un outil pour supprimer le ver Stuxnet Publié le lundi 11 octobre 2010par Emilien Ercolani L’éditeur de solutions de sécurité BitDefender a mis gratuitement à disposition un outil de suppression du ver Stuxnet Voici un outil pour enfin se débarrasser du fameux ver Win32.Worm.Stuxnet, qui fait des ravages depuis quelques semaines. Repéré l’été dernier, le virus en a fait trembler plus d’un et a eu des conséquences considérables. Fin septembre, l’Iran avait reconnu avoir été touché par le virus. Il avait ensuite annoncé la fin de l’infection et l’arrestation de plusieurs personnes soupçonnées d’avoir été à l’origine des attaques. Une centrale hollandaise avait également signalé des attaques du même type. Mais elles avaient été stoppées à temps. Rappelons aussi que le ver est utilisé pour effectuer des attaques ciblées de façon à pénétrer les systèmes SCADA (Supervisory Control And Data Acquisition) Ceci désigne des systèmes de surveillance utilisés dans de nombreuses industries, par exemple dans l'ingénierie électrique. L’éditeur de solutions de sécurité BitDefender a mis gratuitement à disposition un outil de suppression de Stuxnet. « Cet outil permet de supprimer toutes les variantes connues de ce malware, ainsi que les drivers rootkit qui sont utilisés pour dissimuler des composants critiques du ver », précise l’éditeur. « Bien qu’il infecte tous les systèmes Windows sans distinction, il cible en priorité les systèmes de supervision de contrôle et d’acquisition de données (SCADA) qui utilisent le logiciel Siemens WinCC », souligne-t-il encore. L’outil de désinfection peut être téléchargé depuis la section Downloads du site www.Malwarecity.fr. Ars Technica est banni en Iran Publié le mardi 12 octobre 2010par Johanna Godet L’Iran restreint encore la liberté d’expression sur son territoire. Après avoir publié un article sur les attaques du ver Stuxnet dans les centrales iraniennes, le site d’informations Ars Technica a été banni par les autorités locales. Quelque temps après avoir traité de l’attaque du ver Stuxnet en Iran le 27 septembre dernier, le site d’informations américain spécialisé dans les nouvelles technologies Arstechnica a été banni par les autorités iraniennes. Les internautes iraniens désirant se rendre sur le site web arstechnica.com se retrouvent face au message d’erreur suivant : « 403 Forbidden ». L’équipe d’Ars Technica ne s’en est pas aperçu immédiatement. Elle a été alertée la semaine dernière par un lecteur local, et après avoir vérifié les statistiques du trafic en provenance de l’Iran, la rédaction a conclut qu’elle était victime de censure. Ainsi, après l’Arabie Saoudite qui annonçait il y a deux semaines qu’elle remettait au goût du jour la censure, c’est au tour de l’Iran d’appliquer le bannissement, même si ce n'est pas le premier acte gouvernemental allant à l'encontre de la liberté de la presse. En vidéo : tous les détails sur le fonctionnement du ver Stuxnet Publié le mercredi 13 octobre 2010par Emilien Ercolani Depuis que le ver Stuxnet fait des émules dans le monde entier, on ne sait plus exactement quel est son mode de fonctionnement. Un expert de Kaspersky revient sur cette menace qui ouvre, selon l’éditeur, les portes d’une nouvelle ère : celle de la cyberguerre. Depuis plusieurs semaines, de nombreux experts s’interrogent sur le ver Stuxnet après qu'il ait frappé en Iran et aux Pays-Bas notamment. Dans les coulisses des récentes Assises de la sécurité à Monaco, puis de RSA Security qui se déroule actuellement à Londres, il n’est pas rare d’entendre dire que cette menace est loin d’être insignifiante. Mieux, certains osent sous-entendre que ce ver a été conçu par un gouvernement, et non pas par quelques hackers isolés. Une menace très complexe Cette hypothèse conforte donc ce qu’expliquent les experts des éditeurs de sécurité, notamment, Kaspersky quand il affirme que l’ère de la cyberguerre est désormais ouverte (même si on peut se laisser aller à dire qu’elle l’était déjà). Dans la vidéo ci-dessous (en anglais uniquement), Roel Schouwenberg, l'expert de Kaspersky Lab, explique ce qu’est Stuxnet : « Il y a beaucoup d’aspect pour appréhender Stuxnet », explique-t-il, avant de dire que c’est une menace très complexe, car il « attente à des plateformes qui sont déconnectées d’Internet ». « Stuxnet exploite 4 failles 0-day. Une menace qui exploite une faille 0-day est déjà très importante. Donc c’est vraiment énorme (…) Le ver se propage en utilisant des périphériques USB pour attaquer le réseau », continue-til. En revanche, il ne se prononce pas quant à l’origine du virus. Mais « pour créer un virus de ce type, il vous faut une équipe avec entre 5 et 10 « top level experts » afin de trouver toutes ces vulnérabilités, (…) C’est des mois et des mois de développement », sans compter le temps des tests. « Ils devaient être surs que cela fonctionnerai correctement ». 4 failles 0-day Quel est le but de Stuxnet ? Là aussi, il est difficile de répondre, car même les experts n’ont pas accès à toutes les spécifications du ver. Toutefois, l’US National R&D a mené des expériences sur des réseaux. Il en résulte des machines totalement surchargées, mais il est encore difficile de définir le rôle précis. Et pour finir, comment se défendre contre un virus qui cible 4 failles 0-day ? « Commencer par ne pas autoriser les mises à jour automatique », par exemple, mais également surveiller constamment l’activité sur le réseau. Faire du monitoring en somme... http://www.generation-nt.com/ 15/10/2010 15:31 par Jérôme G. Stuxnet : faux nettoyeur attribué à Microsoft Les cybercriminels n'ont décidément par leur pareil pour rebondir sur l'actualité. Voici venir un faux qui prétend éradiquer la menace Stuxnet. Un faux qui revendique une conception Microsoft. Le ver informatique Stuxnet bénéficie d'un large écho médiatique. Les sociétés de sécurité s'accordent sur un point, ce malware est d'une conception très élaborée. Il a notamment la possibilité d'exploiter quatre failles Windows dont trois ont déjà été comblées par Microsoft. Kaspersky Labs souligne ainsi cette spécificité très rare car généralement, une seule faille est exploitée par un malware. C'est l'une des caractéristiques qui font dire à quelques experts que Stuxnet a été élaboré par un État. D'autant que la véritable cible de Stuxnet n'est pas Windows mais les systèmes de supervision industrielle et d'acquisition de données ( SCADA ) qui utilisent le logiciel WinCC de Siemens. Les fantasmes d'espionnage vont ainsi bon train, surtout lorsqu'on apprend que l'Iran a été majoritairement touché. Le faux outil de désinfection Tout cet emballement médiatique est aussi une aubaine pour les cybercriminels et Symantec vient de détecter la présence d'un malware surfant sur le phénomène Stuxnet. Un cheval de Troie se fait passer pour un outil de désinfection de Stuxnet. Et pour faire avaler des couleuvres, les instigateurs de cette arnaque n'y vont pas de main morte. Microsoft Stuxnet Cleaner est présenté comme un outil soi-disant conçu par la firme de Redmond. À fuir comme la peste, bien évidemment, d'autant que l'outil ne pourra être déniché que via des sources non sûres. La véritable action de Microsoft Stuxnet Cleaner semble hautement destructrice avec la modification de clés de registre Windows pour empêcher l'ouverture de fichiers ( .exe, .mp3, .jpg …), l'arrêt de certains processus, mais le pire, le risque d'une suppression de tous les fichiers du disque dur principal. Stuxnet Cleaner ne semble toutefois pour le moment pas largement diffusé. Symantec annonce avoir intégré la signature de ce nuisible dans sa base de données. Rappelons que le cas échéant, BitDefender met gratuitement à disposition un authentique outil de désinfection pour Stuxnet Iran : le programme nucléaire temporairement arrêté, le ver Stuxnet mis en cause Publié le mercredi 24 novembre 2010par Emilien Ercolani Dans un rapport de l’AIEA (Agence Internationale de l’Energie Atomique) remis mardi, les inspecteurs indiquent que le programme nucléaire iranien a été brièvement stoppé, le 16 novembre dernier. Plusieurs hypothèses sont avancées, dont celle des dégâts causés par le ver Stuxnet. Le rapport de l’AIEA, remis hier aux 35 Etats membres du conseil des gouverneurs, est formel : le programme nucléaire iranien a été brièvement stoppé pendant la journée du 16 novembre. Selon les experts, cette coupure pourrait d’ailleurs ne pas être la première. Mais il est encore impossible de chiffrer le temps d’arrêt des activités nucléaire, l’Iran n’ayant pas l’obligation de le communiquer. Les scientifiques iraniens « ont de toute évidence rencontré des problèmes », estime un diplomate occidental à Vienne à propos du « trou noir » du 16 novembre. Plusieurs hypothèses sont donc avancées, et notamment celle du ver Stuxnet. Rappelons que le 27 septembre dernier, l’Iran avait reconnu avoir été touché par le ver, qui avait infecté pas moins de 30 000 machines. Il était visiblement destiné à semer la panique au sein du réseau informatique iranien. Selon l’expert allemand Ralph Langner, « Un objectif raisonnable de l’attaque consistait à détruire le rotor de centrifugeuse par les vibrations, ce qui provoque l’explosion de la centrifugeuse ». Mais le 4 octobre dernier, les autorités iraniennes avaient affirmé s’être débarrassé du virus, et avoir arrêté des espions. Cette hypothèse voudrait donc dire que le ver a bel et bien continué de fonctionner jusqu’au 16 novembre dernier. Pour certains spécialistes, seuls quelques états sont capables de concevoir un tel virus, dont les EtatsUnis et Israël. Le vice président iranien, Ali Aakbar Salehi, a encore expliqué qu’il « y a un peu plus d’un an, les Occidentaux ont essayé d’implanter un virus dans nos installations nucléaires dans le but de perturber nos activités, mais nos jeunes savants ont stoppé le virus à l’endroit précis où il essayait de s’infiltrer ». Stuxnet pourrait avoir détruit 1000 centrifugeuses Publié le lundi 27 décembre 2010par Stéphane Larcher Selon un organisme d’analyse américain, le ver pourrait avoir provoqué la destruction d’un bon millier de centrifugeuses dans l’usine d’enrichissement d’uranium située à Natanz, Iran. Le rapport est l’œuvre de l’Institute for Science and International Security, un Think Tank située à Washington. Le rapport complet est disponible à cette adresse. Si les auteurs sont d’une grande prudence dans leurs déclarations, prenant soin de tout écrire au conditionnel, les soupçons sont très forts. En effet, comme l’ont confirmé les autorités iraniennes, le virus Stuxnet a bien infecté plusieurs installations nucléaires de l’Iran et cette infection pourrait être à l’origine du déclassement de 1000 centrifugeuses dans le complexe de Natanz chargé de l’enrichissement de l’uranium. Selon le rapport, le lien entre les deux événements est en cohérence avec les déclarations de M. Ali Akbar Salehi, directeur de l’organisation de l’Energie Atomique d’Iran et récemment nommé ministre des Affaires Etrangères de la République Islamique. « Il y a un an et quelques mois, l’ouest nous a envoyé un virus dans nos sites nucléaires », déclarait-il récemment. Selon le rapport, il y aurait plus de 10 000 centrifugeuses de type IR-1 installées sur le site de Natanz, seulement 10% d’entre elles auraient été gravement affectés au point de devoir les changer. Selon David Albright, président de l’Institute for Science and International Security, la technique utilisée par Stuxnet a consisté à modifier la vitesse de rotation des centrifugeuses. Celles-ci tourneraient habituellement à 1007 cycles par seconde, alors que Stuxnet aurait modifié cette vitesse à 1064 cycles par seconde, ce qui aurait eu pour conséquence de briser certains moteurs à cause des vibrations. Le Jérusalem Post a récemment interviewé Ralph Langer, un consultant allemand qui a été l’un des premiers à analyser le code de Stuxnet. A nos confrères israéliens, M. Langer déclarait qu’il était possible que le programme iranien ait pu prendre deux années de retard à cause du ver Stuxnet. Rappelons également que L’agence Internationale de l’Energie Atomique a récemment indiqué que l’Iran avait suspendu ses travaux dans plusieurs unités nucléaires, cependant sans préciser si Stuxnet en était la cause. Interrogé sur les créateurs du virus, M. Langer estimait que, selon lui, au moins deux Etats étaient derrière sa création. Stuxnet : créé conjointement par Israël et les Etats-Unis ? Publié le mardi 18 janvier 2011par Emilien Ercolani Après avoir commis de nombreux dégâts en Iran, l’origine du ver Stuxnet se précise. C’est en tout cas ce que croit savoir le New York Times, qui affirme qu’Israël et les Etats-Unis l’ont conjointement mis au point. L’information risque de faire des ravages. Effectivement, le New York Times, qui cite des sources confidentielles, affirme que les Etats-Unis et Israël ont conjointement développé le fameux ver Stuxnet, qui aurait fait beaucoup de ravages en Iran. Le ver aurait même été testé dans le complexe israélien de Dimona avant d’être envoyé dans l’usine d’enrichissement d’uranium à Natanz. En décembre, nous relations que 1 000 centrifugeuses auraient été détruites par le virus informatique. Stuxnet a été passé au crible par une équipe de chercheurs en sécurité informatique. Au-delà du fait que tout le monde s’accorde à dire qu’il est ultrasophistiqué, il avait des buts bien précis. Ralph Langner, de l’entreprise allemande Langner Communications GmbH, qui a participé aux recherches, explique que le ver avait bien des rôles précis, en plusieurs étapes : infiltrer le programme d’enrichissement, prendre en partie le contrôle du système SCADA (supervisory control and data acquisition) pour forcer les centrifugeuses à fonctionner à des vitesses anormales afin de les faire craquer. Soulignons quant à nous que cette information n’est pas réellement surprenante, dans le sens où les Etats-Unis et Israël étaient les coupables les plus « probables » dans cette affaire. Pour terminer, le NYT explique aussi que Siemens (créateur du système SCADA) collabore avec des experts dans un laboratoire aux Etats-Unis pour identifier les éventuelles failles. Le laboratoire en question sert également de centre de recherche pour le Département de l’Energie (DoE) aux Etats-Unis.