Comment Obama était dangereusement naïf à propos de STUXNET et de la cyberguerre

Si le New York Times compte rendu complet de la naissance du ver STUXNET qui a ralenti les efforts de l'Iran pour enrichir l'uranium nous dit n'importe quoi, c'est que l'administration Obama était remarquablement naïve quant au potentiel de prolifération des cyberarmes qu'elle développait.





Ralph Lagner a déchiffré le code du ver Stuxnet destiné à l'Iran. (Photo: Steve Jurvetson )

En effet, alors que les discussions sur le nouveau territoire dans lequel les États-Unis pénétraient se déroulaient apparemment à la Maison Blanche, finalement, a déclaré un assistant au Times, l'administration ne voulait pas développer une grande théorie pour une arme dont elle découvrait encore les possibilités.

Puis, à l'été 2010, un événement que l'administration aurait dû anticiper s'est produit : le ver STUXNET s'est détaché et a commencé à se répliquer à l'extérieur de l'usine d'enrichissement iranienne qui avait été sa cible. Dans la nature, sur Internet, il a été exposé à tout le monde.



Et c'est apparemment à ce moment-là que les pirates informatiques opportunistes ont commencé à en tirer des leçons.

Comme souligné par Eric Gallant à Centre de données Pro , STUXNET a appris aux pirates informatiques que les systèmes de contrôle industriel utilisés dans la production industrielle (pensez aux usines de haute technologie) et les centres de données étaient vulnérables aux attaques.

[Mettre à jour: Ryan Ellis , un post-doctorant à Stanford dont les recherches portent sur les débats contemporains sur la sécurité des infrastructures, souligne que la vulnérabilité des systèmes SCADA et ICS était certainement bien connue bien avant l'émergence de STUXNET. Les efforts du DHS, du DOE et du NIST ciblant la sécurité ICS et SCADA se poursuivent depuis des années. Il est donc plus exact de dire que Stuxnet a introduit une nouvelle base de code dans ce qui avait été une bataille en cours pour sécuriser ces systèmes.]



1. Prolifération du code STUXNET, avec des cibles inconnues.

En septembre 2011, un nouveau ver de type STUXNET appelé Duqu a été découvert. Bien que sa cible ne soit pas claire, il peut être conçu pour voler des données sur un système de contrôle industriel, avant une attaque réelle. (Cette surveillance a fait partie intégrante de la mise hors service réussie de l'usine d'enrichissement de Natanz lors de l'attaque STUXNET.)

2. Un logiciel malveillant de système de contrôle de qualité industrielle a failli être révélé lors d'une conférence sur la sécurité de l'information à Dallas.



Les chercheurs ont affirmé : Nous allons démontrer comment des attaquants motivés peuvent pénétrer même dans les installations les plus fortement fortifiées du monde, sans le soutien d'un État-nation. Le fabricant de SCADA Siemens et le département américain de la Sécurité intérieure ont demandé aux chercheurs de ne pas poursuivre la démonstration en invoquant des problèmes de sécurité publique.

3. Lancement de la boîte à outils de piratage du système de contrôle industriel.

En mars 2011, Gleg, une entreprise de sécurité russe, a proposé à la vente un progiciel connu sous le nom de Pack Agora SCADA+. Le logiciel contenait 22 modules exploitant 11 vulnérabilités zero-day. Le pack comprenait des données applicables à une grande variété d'appareils et de logiciels du fabricant du système SCADA.



4. Le code STUXNET est apparu dans un botnet zombie indestructible qui a infecté des millions de PC .

Ce malware, connu sous le nom de TDL4, déploie un certain nombre d'astuces astucieuses pour garantir sa propre survie, dont une empruntée directement à la cyberarme la plus sophistiquée au monde, Stuxnet.

La liste des façons dont le code STUXNET développé à l'origine par les États-Unis et Israël est largement distribué, appris et exploité se poursuit, et le post complet de Data Center Pro vaut la peine d'être lu si vous voulez comprendre comment ces attaques pourraient éventuellement être menées sur les centres de données dont dépendent Internet et notre infrastructure financière.

En général, l'infrastructure dite SCADA (Supervisory Control and Data Acquisition) des États-Unis a été décrite comme la Le talon d'Achille des infrastructures critiques , et Richard Clarke, ancien conseiller de la Maison Blanche sur la cybersécurité a affirmé que La Chine sonde déjà le réseau électrique américain .

La bonne nouvelle, c'est qu'il y a au moins deux raisons de ne pas paniquer. La première est que l'impact que peuvent avoir ces types de cyberattaques n'est pas encore clair. L'Iran, par exemple, a été ralenti dans ses efforts, mais c'est considérablement différent des résultats, disons, d'un bombardement conventionnel sur leurs installations d'enrichissement.

La deuxième raison pour laquelle nous devrions tempérer notre anxiété face aux cyberattaques est qu'il existe une sorte d'asymétrie amusante dans la cyberguerre. Comme c'est le cas avec les logiciels antivirus, le simple fait de savoir qu'une menace existe peut nous permettre de vacciner rapidement nos systèmes contre ces menaces. Que nous le fassions ou non est une toute autre question.

Et c'est le seul domaine où l'administration Obama se montre désespérément naïve dans ses conversations sur l'impact potentiel du ver STUXNET : n'est-il venu à l'esprit de personne dans la salle qu'une fois déclenchée, ce genre d'attaque signifierait que chaque pièce des infrastructures critiques contrôlées par ordinateur aux États-Unis devraient être évaluées et mises à jour pour toujours, afin de se défendre contre une telle attaque ?

Suivez @Mims ou entrer en contact

cacher