Overblog Suivre ce blog
Editer l'article Administration Créer mon blog
29 octobre 2010 5 29 /10 /octobre /2010 20:40

error sys

system error - source.

 

La rumeur enfle sur le net sans que le moindre indice vienne corroborer une thèse plutôt qu'une autre mais tout le monde veut y croire : une cyberguerre vient de commencer. Jouant une fois de plus sur les fantasmes d'une technique vulgarisée mais peu comprise du grand public l'attaque du ver géant Stuxnet se combine comme un bon vieux roman de gare. Mais qu'y a-t-il vraiment derrière ces intrigues d'opérette ?

 

Un ver sinon rien !

 

Le ver est un logiciel malveillant qui doit son nom à sa haute capacité de réplication, ainsi son appellation renvoie à cette idée du ver que l'on coupe et qui continue de prospérer dans tous les sens. Il se multiplie aisément à travers n'importe quel système en réseau et cela d'autant plus facilement que contrairement au virus classique il n'a pas besoin d'un programme hôte pour être généré. Ce n'est donc pas sa réplication qui pose problème mais son introduction. Arrivé de façon anonyme sous forme de script dans un mail (le célèbre ver "I love you" par exemple) ou intégré à une page HTML, il exploite par la suite les failles des systèmes d'exploitations pour se propager et devenir opérationnel. Il permet alors le plus souvent d'ouvrir "une porte dérobée" qui donne un accès secret à un tiers sur votre machine qui peut alors surveiller les activités du système ou carrément en prendre le contrôle. La dernière solution permet alors  le plus souvent de mener des actions malveillantes de manière anonyme en utilisant l'ordinateur infecté. 

Le ver est le seul moyen pour des pirates d'infecter en masse un parc étendu de machines. Et cette propriété aura son rôle à jouer dans l'affaire qui nous intéresse aujourd'hui car elle évitera d'avoir recours à des théories rocambolesques qui feraient appel à des unités spéciales ou commandos d'élite capables d'approcher le système informatique concerné par l'attaque.

 

virus_mac.jpg

Une simple clef USB est à l'origine de la contamination- source

 

Stuxnet !?

 

Repéré en juin 2010 par une firme de sécurité biélorusse (VirusBlokAda), ce petit ver doit sa notoriété au système qu'il tente d'écluser : SCADA (Supervisory Control And Data Acquisition) qui n'est rien d'autre que le programme de contrôle de la centrale nucléaire iranienne de Bouchehr. Si la cible est impressionnante le logiciel en lui-même est un classique du genre qui repose sur une faille de Windows. L'attrait de cette histoire vient donc de la cible et on peut facilement fantasmer sur les effets d'une telle attaque puisque le système SCADA System SIMATIC de Siemens permet de contrôler tous les automatismes de la centrale ainsi que la distribution d'électricité. Le système est généraliste et peut aussi être utilisé pour gérer la distribution de pétrole ou d'eau, le trafic ferroviaire et en général tout processus industriel. Il ne s'agit donc pas de parasiter l'activité mais bien d'en prendre le contrôle. Dans un contexte international tendu sur la question, l'histoire ne pouvait pas ne pas déchaîner les passions en mettant en place les meilleurs scénarios d'espionnage.

 

biohasard.png

 

Il a l'air Mossad !

 

Dieu merci - les médias n'ont pas attendu pour désigner un coupable et si les Etats-Unis sont évoqués quelquefois c'est bien Israël qui est montré du doigt. Une fois n'est pas coutume l'efficacité du Mossad (les services secrets israéliens) est mise en avant et nous rappelle que si grâce à notre terroir nous excellons dans les vins, Israël - avec ses guerres - nous livre le plus grand cru de l'espionnage étalant fièrement des réussites marquantes quand nous restons un peu bêtement paralysés par nos mésaventures avec le Rainbow Warrior. Le Mossad s'occupe donc des opérations de renseignements mais aussi d'actions plus illicites (l'assassinat étant officiellement par exemple une des spécialités de l'unité Kidon de la division METSADA) à l'extérieur d'Israël et des territoires palestiniens occupés qui eux relèvent du Shabak plus connu sous le nom de Shin Bet. La capture en 1960 d'Eichmann à Buenos Aires ou les assassinats du commando "Septembre noir" dans les années 70 marquent les esprits aussi bien que les pellicules de cinéma qui trouvent là de quoi rêver à peu de frais. Mais derrière ces spectaculaires réussites, des opérations plus modestes souvent menées en relation avec les services militaires (le Aman) voient le jour et révèlent une ligne directrice assez nette surtout en ce qui concerne la politique nucléaire des pays frontaliers.

 

bomb-invader

      Les pixels de la fin - source.

 

Opération "Opéra" : deux places s'il vous plaît.

 

Si on était dans un roman de gare le nom serait tout trouvé : "Raid sur Osirak". Heureusement, la réalité est encore plus folle et le détail même de la mission fait penser à un scénario impossible qui ferait passer n'importe quel épisode de James Bond pour un cross over de Plus belle la vie

 

L'attirance d'Israël pour les centrales nucléaires ne date pas d'aujourd'hui et on ne compte plus les sabotages réussis que le Mossad et le Aman comptent à leur actif.  Le réacteur d'Osirak est un symbole car il relève d'un véritable coup de génie et montre l'ingéniosité qu'il faut déployer pour tenter une telle opération sans compter sur les failles de la technologie moderne.

 

En 1981, la réussite d'une telle opération ne résidait que sur l'habileté des pilotes de l'IAF qui volèrent si serrés que la signature radar de l'escadrille était semblable à celle d'un jet commercial. Ils passèrent ainsi les protections et firent sauter la centrale. La faiblesse de l'informatique a clairement été mise au jour lorsqu'elle s'est confrontée à la ruse proprement humaine. Les upgrades n'ont pas traîné et de tels coups sont plus difficiles à mener. Il fallait évoluer, il fallait pirater.

 

After_Burner.png

After Burner de Sega : du rêve et des pixels - source.

 

"Chérie, je passe dans un tunnel"

 

La Syrie n'est pas la plus grande armée du monde mais elle possède de loin la plus importante défense anti-aérienne du Moyen-Orient. De nombreux radars d'origine soviétique couvrent le territoire et commandent une DCA assez importante pour stopper toute tentative musclée pour en découdre à partir du ciel. Le cadre est posé : il n'y a qu'en cas de guerre qu'un accrochage avec ce système est sérieusement envisageable. Pourtant il en sera tout autrement une belle matinée de septembre 2007. Le 6 un premier groupe de radars syriens situé à la frontière est brouillé puis détruit par des missiles Harm. Quelques secondes plus tard, une escadre israélienne de F-15 (escorte) et de F-16 (attaque au sol) franchit la zone. Hautement détectables, ces avions ne le seront pas, car un miracle se produit : pendant quelques minutes la quasi-totalité des radars syriens sont désactivés. Aucune trace sur les écrans - tout semble normal alors que véritablement rien ne l'est. 

En réalité, peu de temps avant leur arrivée, un drone aérien Suter  survole la zone et intoxique les ordinateurs des radars en envoyant via les bandes HF et UHF un code malicieux qui permet par l'intermédiaire d'une sorte de "cheval de Troie" de prendre le contrôle de l'installation alors qu'elle n'est pas reliée au net. La Cyberwar n'est plus un concept - elle devient réalité en fournissant un avantage que des centaines de commandos ou de nombreuses escadres n'auraient pu lui procurer. Quelques minutes plus tard le chantier de la centrale nucléaire de Dayr as-Zawr retourne à l'état de simple projet, il ne reste plus rien. 

 

On le devine aisément un pas sera franchi lorsqu'il n'y aura plus besoin d'aucune intervention physique pour solder la mission par une réussite. Il fallait donc trouver un moyen d'autodétruire une centrale. C'est dans une telle problématique que le ver Stuxnet prend toute son importance.

 

 

Ocean's eleven : casse, arnaque et informatique.

 

clooney-nespresso.jpg

Une centrale ! en Iran !? - pas de souci... - source.

 

Stuxnet se comprend donc comme une forme d'aboutissement, et le moins que l'on puisse dire c'est que côté informatique on est loin du bidouillage adolescent et pas loin du chef d'œuvre. D'ailleurs, c'est peut-être ce degré même de finition qui fait penser que seul un Etat pourrait être derrière tout ça. Mais à quoi reconnaît-on une toile de maître ?

 

Les meilleurs pirates sont ceux qui arrivent à exploiter des brèches inconnues des logiciels distribués mettant ainsi à mal leurs développeurs qui doivent se lancer dans une course effrénée pour tenter de colmater la brèche ouverte dans leur logiciel. Ce type d'attaque se nomme "0 day" en référence au temps qu'il reste au développeur pour bloquer l'attaque. En gros, le pirate met le concepteur devant le fait accompli en exploitant une faille du logiciel inconnue de tous. C'est déjà fait -  trop tard : le mal est fait !

Des communautés entières de hackers  se tuent à la tâche pour trouver un ou deux "exploits 0 day" par an pour forcer Windows. Stuxnet en compte 4. Le logiciel comportait donc pas moins d'un quadruple trousseau pour s'assurer un passage en douceur dans le système. Mais la cerise sur le gâteau ce n'est pas ce quadruple exploit qui après tout serait juste le signe d'une virtuosité technique accomplie. Le plus beau, le coup de maître, c'est que le logiciel est signé. Complètement "casher", le logiciel passe pour Windows comme un programme de confiance.

 

C'est ce point là qui doit retenir le plus notre attention. Car s'il est relativement "facile" pour des Michel Ange de l'informatique de tenter de trouver des failles dans un logiciel, il en va tout autrement de l'obtention d'une signature informatique. Pourquoi ? Tout simplement car il n'est plus question de piratage mais que l'obtention d'une telle clef passe presque nécessairement par le monde réel sans que le moindre casse virtuel ne soit possible (à moins d'imaginer d'autres programmes eux-mêmes de ce niveau de complexité capables de s'introduire au sein des firmes lésées par ce vol et d'accéder à un fichier qui doit probablement être stocké dans un coffre-fort physique). Il a donc fallu voler les signatures des deux entreprises taiwaniennes Jmicron et Realteck et pour cela il faut sortir de la "matrix" rejoindre le monde réel et en chair et en os affronter le poids de ses actions.

 

La totalité de ces particularités font de Stuxnet un produit hybride qui ne semble pas être le fils unique d'un génie du hack. Il nous montre à quel niveau la sécurité informatique est maintenant une affaire d'Etat et à quel point la technologie au-delà des bénéfices qu'elle a su apporter à notre quotidien peut aussi le fragiliser en portant de manière fantomatique la destruction au cœur de nos systèmes quotidiens. Nous avons dépassé le mur de la fiction sans avoir besoin du moindre avion et nous devons nous préparer à un quotidien où la menace peut être absurde sans être pour autant moins réelle. 

 

Money, money, money !

 

Warhol Dollar

what else !? - source.

 

Mais derrière les aspects technologiques, il ne faut pas oublier de cibler les mobiles et si d'après les rumeurs les centrales iraniennes ont été ralenties pendant trois mois, il est difficile de ne pas interroger la disproportion évidente qui existe entre la complexité du ver (sans oublier son coût probable) et les effets de son action. Car si l'aspect technique semble irréprochable la mise en place et les conséquences du programme ne sont pas aussi impeccables que cela comme le rappelle non sans humour Gadi Evron - un spécialiste israélien de la sécurité informatique - dans le très sérieux Dark Reading où il espère que le Mossad ne laisserait pas passer de telles ficelles.

 

Puisque tout le monde est dans le flou nous pouvons nous aussi ajouter une hypothèse qui ne verrait non pas un Etat derrière le ver mais bien un concurrent industriel de Siemens - car après tout il n'y a pas que l'Iran qui ait été infecté et l'industriel reconnaît qu'au moins 14 de ses plus grands clients ont été touchés. Les journalistes ont tendance à oublier les nombreuses infections en Allemagne mais aussi aux Etats-Unis de nombreuses entreprises (pas forcément dans le nucléaire) qui disposent du système Scada comme le montre l'affolement que l'on peut constater sur le forum de la société qui aurait dû communiquer beaucoup plus clairement sur l'incident et ne pas se contenter de cette simple notice.  

Les tensions géostratégiques de la région renforcées par les bravades et coups médiatiques de son président ne pouvaient qu'assurer à un adversaire de l'industriel une exposition prolongée qui a fonctionné comme une campagne de dénigrement pour la marque. Car si ce n'est pas la première fois qu'un tel système est piraté, c'est bien la première fois que l'on en parle autant. La fiabilité du produit est remise en question de manière définitive puisque le logiciel et son concepteur resteront de manière durable associés à cette affaire dans la tête des acheteurs potentiels - il est donc certain qu'à plus ou moins long terme le jeu en valait bien la chandelle.

 

Nous sommes presque invariablement attirés par la trame aventureuse d'un bon scénario d'espionnage mais il ne faut pas oublier les autres impératifs qui guident la société et que derrière le politique il y a maintenant un mobile plus fort qui peut décider d'une guerre ou de la paix : l'économie.

 

wstreet.jpg

source.

Partager cet article

Repost 0

commentaires

Yann 22/01/2011 02:01


Bonjour,

et maintenant que plusieurs états ont revendiqué l'attaque(Siemens aurait également participé à la conception du virus), quelles conséquences pour les prochains conflits. La guerre sera t'elle de
plus en plus "informatique" ?


Electrosphere 01/11/2010 18:01


Très touché par votre intérêt Votre blog figure dans mon blogroll (colonne de droite) depuis belle lurette.
Cordialement


Electrosphère 01/11/2010 16:49


Je constate que Freakosophy s'inspire grandement des blogs Electrosphère et Alliance Géostratégique (http://www.alliancegeostrategique.org/2010/10/04/raid-cyber-israel-syrie/).

Cordialement


Freakosophe 01/11/2010 17:34



Nous sommes attentifs à votre blog depuis que vous nous avez écrit la première fois - voici la page qui m'a le plus inspiré au sujet du raid:


http://www.alliancegeostrategique.org/2010/10/04/raid-cyber-israel-syrie


 


Par contre tous les détails sur le système scada ainsi que la fin
proviennent d'un long travail sur les forums de siemens et de la consultation du Monde du renseignement


 


Au plaisir de vous relire !