{"id":290871,"date":"2022-07-04T08:30:10","date_gmt":"2022-07-04T07:30:10","guid":{"rendered":"https:\/\/www.stormshield.com\/?p=290871"},"modified":"2025-03-20T12:49:49","modified_gmt":"2025-03-20T11:49:49","slug":"stuxnet-ver-informatique-enseignements-heritage","status":"publish","type":"post","link":"https:\/\/www.stormshield.com\/fr\/actus\/stuxnet-ver-informatique-enseignements-heritage\/","title":{"rendered":"Stuxnet, quels enseignements plus d’une d\u00e9cennie apr\u00e8s ?"},"content":{"rendered":"

\"Ver<\/p>\n

En 2010, le monde d\u00e9couvrait Stuxnet. Un ver qui frappait alors les automates en charge des centrifugeuses d\u2019une usine <\/strong>iranienne\u00a0<\/strong>d'enrichissement d'uranium et qui mettait le doigt sur la vuln\u00e9rabilit\u00e9 des environnements industriels. Depuis cet \u00e9pisode sorti d\u2019une petite cl\u00e9 USB infect\u00e9e, le risque cyber s\u2019est alors \u00e9largi \u00e0 l\u2019univers industriel dans son ensemble. Et plus de dix ans apr\u00e8s, les infrastructures de JBS Foods (agroalimentaire) et de Colonial Pipeline (\u00e9nergie) \u00e9taient victimes de cyberattaques et allaient voir leurs lignes de production impact\u00e9es pendant des semaines.<\/strong><\/p>\n

Malgr\u00e9 les ann\u00e9es, les modes op\u00e9ratoires des cyber-attaquants ont \u00e9volu\u00e9, mais le syst\u00e8me de contr\u00f4le industriel des usines reste une cible privil\u00e9gi\u00e9e. Dans cet article, d\u00e9cryptons l\u2019impact du ver Stuxnet en 2010. Quel h\u00e9ritage cette attaque a-t-elle laiss\u00e9 aux cyber-criminels ? Qu\u2019en ont appris les industriels ? \u00c9l\u00e9ments de r\u00e9ponse et regards crois\u00e9s.<\/p>\n

 <\/p>\n

Stuxnet, le cauchemar des environnements industriels<\/h2>\n

Mais alors, c\u2019est quoi Stuxnet\u00a0?<\/strong> En juin 2010, le ver Stuxnet a \u00e9t\u00e9 d\u00e9tect\u00e9 sur une machine d\u2019un employ\u00e9 de la centrale nucl\u00e9aire de Bouchehr, en Iran. L\u2019objectif de ce ver \u00e9tait de reprogrammer le fonctionnement des automates industriels de la marque Siemens, pour alt\u00e9rer le bon fonctionnement des centrifugeuses et ainsi stopper le programme d\u2019enrichissement nucl\u00e9aire iranien en cours de d\u00e9veloppement.<\/p>\n

\u00c0 l\u2019origine de l\u2019infection de 30 000 actifs informatiques \u00e0 travers le pays, le ver informatique sera ensuite d\u00e9tect\u00e9 en Allemagne, en France, en Inde et en Indon\u00e9sie, augmentant le nombre d\u2019actifs compromis \u00e0 45 000. Mais de par sa conception, Stuxnet<\/a> aurait d\u00fb \u00eatre un malware ind\u00e9tectable. Et pour cause, ce dernier avait la facult\u00e9 d\u2019analyser les communications envoy\u00e9es aux automates et de s\u2019installer lui-m\u00eame sur un h\u00f4te au travers d\u2019un d\u00e9placement lat\u00e9ral. Pour ce faire, les cyber-attaquants ont analys\u00e9 le fonctionnement des protocoles de communication OT et d\u00e9couvert des faiblesses technologiques li\u00e9es \u00e0 l\u2019authentification. \u00ab\u00a0Pour leur attaque, les cr\u00e9ateurs de Stuxnet ont us\u00e9 de l\u2019absence d\u2019authentification et de chiffrement du protocole S7 de Siemens, ainsi que l'absence d'un contr\u00f4le anti-replay<\/em>, d\u00e9taille Marco Genovese<\/strong>, Ing\u00e9nieur avant-vente et expert des milieux industriels chez Stormshield. Cette faiblesse a permis de prendre conscience que ces protocoles OT auraient d\u00fb embarquer une couche de s\u00e9curit\u00e9. Ce besoin de s\u00e9curisation suppl\u00e9mentaire sera impl\u00e9ment\u00e9 plus tard dans la seconde version du protocole appel\u00e9e S7 Plus. Malheureusement, encore aujourd\u2019hui, de nombreuses entreprises industrielles utilisent ce protocole dans sa version de 2010.<\/em>\u00a0\u00bb Bas\u00e9e sur l\u2019utilisation d\u2019une succession de failles Zero-day sur l\u2019OS Windows et en ciblant le syst\u00e8me de commande des proc\u00e9d\u00e9s industriels (SCADA), cette cyberattaque a \u00e9t\u00e9 pour beaucoup la premi\u00e8re attaque cibl\u00e9e ayant permis d'alt\u00e9rer le fonctionnement de machines industrielles au c\u0153ur d\u2019un environnement hautement s\u00e9curis\u00e9<\/strong>. La compromission d\u2019un tel syst\u00e8me de commande industriel non connect\u00e9 \u00e0 internet semblait \u00e0 cette p\u00e9riode \u00eatre une mission extr\u00eamement complexe, puisqu\u2019en 2010, les cyberattaques ciblaient principalement des environnements IT. Pour aller plus loin, la vid\u00e9o de Micode<\/strong> (Le virus le plus flippant de l'Histoire<\/em>, publi\u00e9e en d\u00e9cembre 2024) ajoute une description technique de Stuxnet<\/a>. Ce virus informatique devient alors la premi\u00e8re attaque connue ayant cibl\u00e9 des environnements OT, apportant au passage la prise de conscience que l\u2019industrie pouvait maintenant \u00eatre elle-m\u00eame la victime<\/strong>. Avant cet \u00e9pisode, la complexit\u00e9 de l\u2019environnement industriel et la difficult\u00e9 de mise en \u0153uvre laissaient \u00e0 penser qu\u2019attaquer ce type de cible ne repr\u00e9sentait pas un investissement int\u00e9ressant.<\/p>\n

Et pour r\u00e9pondre \u00e0 une telle complexit\u00e9, le d\u00e9veloppement de ce malware a demand\u00e9 des moyens financiers et humains significatifs<\/strong> afin de comprendre le fonctionnement du programme d\u2019enrichissement nucl\u00e9aire iranien et des infrastructures technologiques de Siemens. Tout ce travail a permis de d\u00e9velopper couche apr\u00e8s couche des points de compromission dans le but d\u2019atteindre en bout de cha\u00eene l\u2019automate S7-300, en charge des variateurs de vitesse des centrifugeuses. Pour Ilias Sidqui<\/strong>, consultant senior chez Wavestone, la complexit\u00e9 de cette attaque a rapidement orient\u00e9 son attribution \u00e0 un acteur \u00e9tatique\u00a0: \u00ab\u00a0Pour pouvoir d\u00e9velopper ce malware, il a fallu construire une maquette \u00e0 l\u2019identique en faisant l\u2019acquisition de mat\u00e9riels industriels tr\u00e8s co\u00fbteux, ce qui impliquait une connaissance des versions des machines utilis\u00e9es en Iran. La complexit\u00e9 de l\u2019ensemble de ces param\u00e8tres a donc rapidement d\u00e9montr\u00e9 que seuls un ou plusieurs \u00c9tats \u00e9taient en capacit\u00e9 de mettre en place de tels moyens.<\/em> \u00bb La vid\u00e9o de Sylvqin<\/strong> (Comment hacker un complexe nucl\u00e9aire ?<\/em>, publi\u00e9e en d\u00e9cembre 2024) permet de creuser davantage cette dimension g\u00e9opolitique<\/a>. Combinaison de plusieurs attaques Zero-day, compromission d\u2019un syst\u00e8me d\u2019information \u00e0 l\u2019aide d\u2019une cl\u00e9 USB, d\u00e9placement lat\u00e9ral, usurpation d\u2019acc\u00e8s administrateur, capacit\u00e9 de reprogrammation de l\u2019automate\u2026 Sans le savoir, ce ver posait les bases d\u2019une nouvelle complexit\u00e9 en cyber-criminalit\u00e9.<\/p>\n

La complexit\u00e9 de l\u2019ensemble de ces param\u00e8tres a donc rapidement d\u00e9montr\u00e9 que seuls un ou plusieurs \u00c9tats \u00e9taient en capacit\u00e9 de mettre en place de tels moyens.<\/em><\/p>\n

Ilias Sidqui<\/strong>, Consultant Senior Wavestone<\/pre>\n<\/blockquote>\n
En remplissant son objectif principal, Stuxnet a marqu\u00e9 l\u2019histoire g\u00e9opolitique. \u00ab\u00a0Il y a clairement eu un avant et un apr\u00e8s Stuxnet, et les alli\u00e9s de l\u2019OTAN ne s\u2019y sont pas tromp\u00e9s non plus en reconnaissant en juillet 2016, au sommet de Varsovie, le cyberespace comme domaine d\u2019op\u00e9rations militaires \u00e0 part enti\u00e8re au m\u00eame titre que la terre, la mer ou le ciel<\/em>\u00a0\u00bb, pr\u00e9cise Fabien Miquet<\/strong>, Officier de S\u00e9curit\u00e9 Produits & Solutions chez Siemens. Mais ce ver a \u00e9galement marqu\u00e9 l\u2019histoire de la cybers\u00e9curit\u00e9, du fait de ses h\u00e9ritages technologiques et strat\u00e9giques, r\u00e9utilis\u00e9s par la suite par les principaux groupes de cyber-attaquants pour les d\u00e9cennies \u00e0 venir.<\/p>\n
 <\/p>\n
Les multiples h\u00e9ritages du ver Stuxnet<\/h2>\n
De la d\u00e9monstration de la faisabilit\u00e9 d\u2019une telle attaque au caract\u00e8re innovant du mode op\u00e9ratoire, les cyber-attaquants post-Stuxnet auront forc\u00e9ment \u00e9t\u00e9 influenc\u00e9s par cette attaque. Douze ann\u00e9es apr\u00e8s sa d\u00e9couverte, la technicit\u00e9 et la difficult\u00e9 de mise en \u0153uvre en font encore aujourd\u2019hui un cas d\u2019\u00e9cole<\/strong>. Premier malware d\u2019une famille qui ne cesse de grandir, il restera \u00e0 jamais le premier ver d\u00e9di\u00e9 \u00e0 la compromission de syst\u00e8mes de contr\u00f4les industriels.<\/p>\n
Et, dans cette d\u00e9monstration de p\u00e9n\u00e9tration et de compromission d\u2019un environnement hautement s\u00e9curis\u00e9, Stuxnet lancera des vocations et sera copi\u00e9 quelques mois plus tard. Si les techniques et vecteurs d\u2019attaques diff\u00e8rent, l\u2019objectif restera le m\u00eame dans plusieurs cyberattaques qui suivront \u00e0 travers le monde\u00a0: cibler les automates industriels. De la Russie \u00e0 l'Iran, ces malwares seront cat\u00e9goris\u00e9s dans une famille \u00e0 part, dite \u00ab\u00a0Stuxnet-like<\/em>\u00a0\u00bb<\/strong>. D\u00e8s l\u2019ann\u00e9e 2012, les soci\u00e9t\u00e9s Saudi Aramco et RasGas sont victimes d\u2019une cyberattaque attribu\u00e9e \u00e0 l'\u00c9tat Iranien. L\u2019innovation par rapport \u00e0 Stuxnet tiendra \u00e0 l\u2019utilisation d\u2019un ransomware, en l\u2019occurrence Shamoon, pour paralyser l\u2019activit\u00e9 de ces soci\u00e9t\u00e9s industrielles. En 2013, c\u2019est le syst\u00e8me de contr\u00f4le des vannes de d\u00e9charges du barrage Bowman aux \u00c9tats-Unis qui est compromis. Selon une investigation du Wall Street journal<\/em><\/a>, cette attaque serait une r\u00e9ponse des autorit\u00e9s iraniennes \u00e0 Stuxnet. En 2015, les fourneaux d\u2019une aci\u00e9rie en Allemagne sont \u00e0 leur tour victimes d\u2019une cyberattaque. D\u00e9finis par le renseignement allemand comme une attaque de type \u00ab\u00a0Stuxnet-like<\/em>\u00a0\u00bb, les d\u00e9tails et incidences de l\u2019attaque ne seront cependant pas divulgu\u00e9s. \u00c0 la m\u00eame p\u00e9riode, l\u2019Ukraine est frapp\u00e9e \u00e0 son tour par des malwares visant cette fois les installations \u00e9lectriques du pays<\/a> avec les malwares \u00ab\u00a0Black Energy<\/em>\u00a0\u00bb et \u00ab\u00a0CrashOverride<\/em><\/a>\u00a0\u00bb en 2015, puis \u00ab\u00a0Triton<\/em>\u00a0\u00bb en 2017. Des attaques attribu\u00e9es \u00e0 des actions de groupes de cyber-criminels russes et qui illustraient surtout l\u2019\u00e9volution de la menace\u00a0: \u00ab\u00a0l\u00e0 o\u00f9 l\u2019attaque de Black Energy d\u00e9montrait la possibilit\u00e9 de mettre \u00e0 mal une centrale \u00e9lectrique sans connaissance particuli\u00e8re des messages industriels, celle de Triton mettait en lumi\u00e8re la vuln\u00e9rabilit\u00e9 du syst\u00e8me de protection du r\u00e9seau OT lui-m\u00eame<\/em>\u00a0\u00bb, d\u00e9taille Marco Genovese.<\/p>\n
\n
#ALire<\/a> Excellent #blogpost<\/a> sur les attaques cyber impactant l'industriel, par les autorit\u00e9s UK \ud83c\uddec\ud83c\udde7 @NCSC<\/a> \u26d3 https:\/\/t.co\/PSViOJlBrX<\/a><\/p>\n
\u27a1\ufe0f Distinction entre attaques directes #OT<\/a> (Stuxnet, Havex, Industroyer, Triton..) et attaques IT avec impact OT (Ekans, Lockergoga, BlackEnergy3..) pic.twitter.com\/iM8isCCrKy<\/a><\/p>\n
\u2014 Matthieu Garin (@matthieugarin) January 3, 2022<\/a><\/p><\/blockquote>\n