Cyber sécurité : Analyse du maliciel Stuxnet
Transcription
Cyber sécurité : Analyse du maliciel Stuxnet
www.heig-vd.ch Cyber sécurité : Analyse du maliciel Stuxnet 1) Copier le ver sur une clef USB Introduction Stuxnet est le premier ver conçu pour affecter le monde physique. L’objectif de ce ver est la destruction de centrifugeuses dans le but de ralentir le programme nucléaire Iranien. Ce ver ne fonctionne que sur les systèmes d’exploitation Windows et vise les systèmes industriels produits par Siemens. Ce projet se divise en trois phases : - Analyse théorique du ver - Analyse technique du ver - Mise en pratique d’une vulnérabilité exploitée par Stuxnet Au travers de ces analyses, nous essayerons de mieux comprendre la première « cyber arme » mais également le ver le plus complexe jamais découvert. Composition de Stuxnet : 2) A l’insertion de la clef USB, le ver s’exécute automatiquement et s’installe 3) Au travers d’une faille du spouleur d’impression, il se répand sur les machines du réseau 4) Le ver demande des instructions 5) Le ver est transféré sur le réseau de haute sécurité (isolé) 6) Il modifie les fichiers de contrôle des automates programmables 7) Il transmet les fichiers modifiés aux automates programmables Spouleur d’impression Le spouleur d’impression est utilisé pour l’envoi de documents à l’imprimante. Chaque ordinateur possède un spouleur d’impression. Celui-ci fait le lien entre la machine et l’imprimante. En exploitant une faille qui autorise une machine distante à copier des documents sur une machine partageant une imprimante, Stuxnet se propage automatiquement sur les machines d’un même réseau. Historique 06.2010, découverte de Stuxnet (première faille) 14.07.2010, découverte de deux nouvelles failles 17.07.2010, Stuxnet change sa morphologie 19.07.2010, le ver est officiellement appelé Stuxnet 02.08.2010, Microsoft corrige une première faille 06.08.2010, Symantec présente le fonctionnement de Stuxnet 14.09.2010, Microsoft corrige une seconde faille 14.09.2010, découverte d’une nouvelle faille 12.10.2010, Microsoft corrige une autre faille 14.12.2010, Microsoft corrige la dernière faille Fonctionnement de Stuxnet Réseau connecté Auteur: Répondant externe: Prof. responsable: Sujet proposé par: Partie pratique Dans le cadre de ce projet, une reproduction de l’exploitaiton de la faille du spouleur d’impression à été réalisée. Cet exploit utilise une erreur de conception dans le processus de contrôle de la provenance d’un appel. Pour réaliser l’exploit, on utilise les fonctionalités mises à disposition par la bibiliothèque d’impression de Microsoft. Schéma bloc : Réseau isolé Cédric van Pernis / Sylvain Pasini Sylvain Pasini HEIG-VD © 2012, filière Télécommunications