Un nouveau logiciel malveillant rapproche Cyberwar d'un pas de plus

Un morceau de code malveillant nouvellement découvert, baptisé Duqu, est étroitement lié au célèbre ver Stuxnet qui a endommagé les centrifugeuses d'enrichissement nucléaire de l'Iran l'année dernière. Bien qu'il n'ait ni cible ni auteur connus, il ouvre la voie à davantage d'attaques industrielles et de cyberguerre, selon les experts.





Qui est le suivant?: Le complexe nucléaire iranien de Natanz, vu ici sur une image satellite, a été endommagé par un ver informatique appelé Stuxnet.

Il s'agit assurément d'une évolution troublante à plusieurs niveaux, selon Ronald Deibert , Directeur de Laboratoire Citoyen , un groupe de réflexion Internet de l'Université de Toronto qui mène des recherches sur la cyberguerre, la censure et l'espionnage. Dans le contexte de la militarisation du cyberespace, les décideurs politiques du monde entier devraient être concernés.

En effet, la diffusion d'un tel code pourrait être déstabilisante. La stratégie de cyberguerre du Pentagone, par exemple, indique clairement que les attaques informatiques contre les infrastructures industrielles et civiles telles que les usines chimiques ou les réseaux électriques ainsi que les réseaux militaires pourraient être considérées comme équivalentes à un bombardement conventionnel ou à une autre attaque, si des civils étaient en danger.



Duqu était décrit mardi par la société de sécurité Symantec, qui affirme que le but du malware semble être de collecter des informations à partir de systèmes de contrôle industriels informatisés. Il ne fait pas de dégâts, mais les espionne plutôt pour recueillir des informations pertinentes pour effectuer de futures attaques.

Les chercheurs de Symantec ont écrit que Duqu circule depuis 10 mois et est essentiellement le précurseur d'une future attaque de type Stuxnet, mais dont la cible est inconnue. Le code peut surveiller les messages et les processus, et rechercher des informations, y compris la conception de systèmes dits SCADA (pour le contrôle de supervision et l'acquisition de données). Ce sont des systèmes informatiques qui sont utilisés dans les usines industrielles et les centrales électriques pour contrôler des éléments tels que des pompes, des vannes et d'autres machines.

Le code a été initialement découvert sur une poignée de sites anonymes en Europe par une équipe de recherche non divulguée et remis à Symantec pour analyse le 14 octobre, selon la société.



Le ver Stuxnet était très spécifique à l'installation iranienne de Natanz, où l'enrichissement d'uranium est effectué dans des bunkers souterrains durcis. L'Iran maintient que Natanz est un effort entièrement pacifique pour fabriquer du carburant pour les centrales nucléaires, mais certains observateurs craignent que cela puisse également servir de programme de fabrication de bombes.

Stuxnet est allé bien au-delà de l'arrêt ou de la perturbation des opérations. Après avoir infecté les systèmes de contrôle fabriqués par Seimens, il a envoyé des instructions qui endommageraient les centrifugeuses délicates, dans lesquelles l'uranium de qualité bombe ou réacteur est séparé de l'uranium naturel. Dans une touche hollywoodienne, le ver affichait également des informations normales sur les écrans d'ordinateur afin que les opérateurs humains ne remarquent pas les attaques.

Stuxnet est largement considéré comme le logiciel malveillant le plus sophistiqué jamais créé. Plus tôt cette année, le New York Times signalé que Stuxnet a été testé par des agents israéliens sur des centrifugeuses sur un site israélien, et a souligné cela et d'autres indices que Stuxnet pourrait avoir été conçu comme un projet américano-israélien pour saboter le programme iranien.



Mais on ne sait pas grand-chose. On ne sait pas à quoi ça sert. La spéculation initiale est que c'était un précurseur du prochain Stuxnet, mais nous ne savons rien, dit Bruce Schneier , cryptologue et expert en sécurité. C'est comme ça. Nous ne savons pas.

Duqu crée une sorte de porte dérobée qui peut recevoir des commandes et fournir des informations à un soi-disant serveur de commande et de contrôle quelque part en Inde. (Ce serveur n'est pas connu pour avoir envoyé des instructions, selon Symantec.) La société affirme que la porte dérobée ne reste ouverte que 36 jours, puis le logiciel malveillant se supprime.

Symantec affirme que ses chercheurs - après avoir envoyé un outil de détection suite à la découverte du code en Europe - ont trouvé Duqu sur des ordinateurs industriels du monde entier. Comme Stuxnet, qui a infecté des milliers d'ordinateurs dans 155 pays l'année dernière, Duqu est monté à bord des ordinateurs des victimes au moyen d'un certificat numérique volé, un code cryptographique qui authentifie un logiciel sur une machine cible. Dans l'ensemble, cela souligne l'importance critique de la politique et des pratiques de sécurité du cyberespace, aux niveaux national, régional et international, a déclaré Deibert.



cacher