Cyber sécurité : Analyse du maliciel Stuxnet

www.heig-vd.ch
Cyber sécurité : Analyse du maliciel Stuxnet
1) Copier le ver sur une clef USB
Introduction
Stuxnet est le premier ver conçu pour affecter le
monde physique. L’objectif de ce ver est la
destruction de centrifugeuses dans le but de ralentir
le programme nucléaire Iranien. Ce ver ne
fonctionne que sur les systèmes d’exploitation
Windows et vise les systèmes industriels produits par
Siemens.
Ce projet se divise en trois phases :
- Analyse théorique du ver
- Analyse technique du ver
- Mise en pratique d’une vulnérabilité exploitée
par Stuxnet
Au travers de ces analyses, nous essayerons de
mieux comprendre la première « cyber arme » mais
également le ver le plus complexe jamais découvert.
Composition de Stuxnet :
2) A l’insertion de la clef USB, le ver s’exécute
automatiquement et s’installe
3) Au travers d’une faille du spouleur d’impression,
il se répand sur les machines du réseau
4) Le ver demande des instructions
5) Le ver est transféré sur le réseau de haute
sécurité (isolé)
6) Il modifie les fichiers de contrôle des automates
programmables
7) Il transmet les fichiers modifiés aux automates
programmables
Spouleur d’impression
Le spouleur d’impression est utilisé pour l’envoi de
documents à l’imprimante. Chaque ordinateur
possède un spouleur d’impression. Celui-ci fait le lien
entre la machine et l’imprimante.
En exploitant une faille qui autorise une machine
distante à copier des documents sur une machine
partageant une imprimante, Stuxnet se propage
automatiquement sur les machines d’un même
réseau.
Historique
06.2010, découverte de Stuxnet (première faille)
14.07.2010, découverte de deux nouvelles failles
17.07.2010, Stuxnet change sa morphologie
19.07.2010, le ver est officiellement appelé Stuxnet
02.08.2010, Microsoft corrige une première faille
06.08.2010, Symantec présente le fonctionnement
de Stuxnet
14.09.2010, Microsoft corrige une seconde faille
14.09.2010, découverte d’une nouvelle faille
12.10.2010, Microsoft corrige une autre faille
14.12.2010, Microsoft corrige la dernière faille
Fonctionnement de Stuxnet
Réseau connecté
Auteur:
Répondant externe:
Prof. responsable:
Sujet proposé par:
Partie pratique
Dans le cadre de ce projet, une reproduction de
l’exploitaiton de la faille du spouleur d’impression à
été réalisée. Cet exploit utilise une erreur de
conception dans le processus de contrôle de la
provenance d’un appel. Pour réaliser l’exploit, on
utilise les fonctionalités mises à disposition par la
bibiliothèque d’impression de Microsoft.
Schéma bloc :
Réseau isolé
Cédric van Pernis
/
Sylvain Pasini
Sylvain Pasini
HEIG-VD © 2012, filière Télécommunications