Qu’est-ce que le ver Stuxnet ?

Stuxnet est un logiciel malveillant classé parmi les vers informatiques, qui a fait des dégâts considérables depuis son apparition en 2010. Il a notamment été utilisé afin de cibler les installations nucléaires en Iran. De ce fait, Stuxnet est considéré comme le malware le plus dévastateur de sa catégorie.

Le ver Stuxnet est le premier logiciel malveillant à avoir causé des dégâts au-delà de la sphère digitale, allant jusqu’à provoquer la dégradation physique des infrastructures ciblées.

Bien qu’aucun pays n’ait revendiqué sa création, il semblerait que les services de renseignements des États-Unis et d’Israël aient développé conjointement ce logiciel malveillant dans le but de nuire au programme nucléaire iranien.

Stuxnet est souvent évoqué en tant que virus, mais il s’agit en réalité d’un ver informatique. Bien que ces deux types de logiciels soient en capacité de corrompre des fichiers sur l’appareil ciblé, un ver fonctionne de manière plus autonome qu’un virus. En effet, il ne requiert aucune interaction humaine pour s’activer, et peut se propager automatiquement après avoir infiltré un système informatique.

Un ver peut également exécuter d’autres actions : par exemple, utiliser de la bande passante, ouvrir des portes dérobées ou encore introduire d’autres logiciels malveillants, comme des spywares ou des ransomwares.

Le ver Stuxnet fonctionne de manière assez sophistiquée. Il est en effet conçu pour ne causer de dommages qu’aux équipements dotés d’une configuration particulière.

Stuxnet s’appuie sur une technique communément appelée l’attaque de l’homme du milieu (man-in-the-middle), qui consiste à intercepter des informations sensibles communiquées entre deux parties prenantes. Cette méthode implique une longue durée d’espionnage permettant à l’attaquant d’intercepter les communications au moment opportun.

Le ver informatique a exploité différentes vulnérabilités dites zero-day de Windows, telles que l’exécution de code à distance, afin de s’infiltrer dans le système et de se propager vers d’autres machines.

Après avoir pénétré dans les systèmes Windows, Stuxnet infecte les fichiers appartenant aux applications logicielles industrielles de Siemens afin de perturber leurs communications.

En janvier 2010, des inspecteurs de l’Atomic Energy Agency ayant visité l’usine d’enrichissement d’uranium de Natanz ont remarqué que ses centrifugeuses tombaient en panne à un rythme sans précédent. La cause de cette défaillance touchant les équipements Siemens n’a pas pu être découverte à ce moment. Cinq mois plus tard, les chercheurs ont trouvé des fichiers malveillants présents dans l’un des systèmes.

Le malware a commencé à se propager en mars 2010, mais a véritablement fait parler de lui au mois de juillet, suite à une attaque DDoS visant une liste de diffusion dédiée aux systèmes industriels.

L’attaque ayant visé les centrales iraniennes a rendu le ver Stuxnet célèbre pour avoir exploité une faille dans l’industrie et être le premier malware à causer des dégâts physiques sur les équipements. Cette cyberattaque sans précédent lui a valu d’être qualifié par les chercheurs de “première arme digitale au monde”.

Le ver Stuxnet a avant tout été conçu pour viser les centrifugeuses des usines d’enrichissement d’uranium permettant d’alimenter les réacteurs nucléaires des centrales. Par la suite, les attaquants l’ont adapté afin de cibler d’autres installations, telles que les centrales électriques ou encore les conduites de gaz.

Les installations nucléaires iraniennes n’étant pas reliées à Internet, l’attaque a été perpétrée de manière physique, probablement par le biais de clés USB infectées par le malware.

Stuxnet a infecté les automates programmables (programmable logic controllers, ou PLC) contrôlant les centrifugeuses, en augmentant leur vitesse de rotation de manière considérable jusqu’à les endommager. Le ver a agi sur une longue durée, accélérant puis ralentissant le rythme des centrifugeuses de manière épisodique durant des semaines.

Le malware a ainsi agi en plusieurs vagues, infectant plus de 20 000 appareils à travers 14 centrales nucléaires et détruisant environ 900 centrifugeuses. Une attaque de grande envergure, qui a totalement paralysé l’industrie nucléaire iranienne et attiré l’attention médiatique au niveau international.

L’une des particularités du ver Stuxnet est sa capacité à rester indétectable par les systèmes de sécurité pendant très longtemps. Il est notamment parvenu à envoyer de faux signaux aux capteurs de l’usine, pour mieux dissimuler sa présence et son activité malveillante. Ainsi, le système central ne percevait aucune anomalie avant que les équipements ne finissent par s’auto-détruire.

Par ailleurs, lors de son apparition, Stuxnet était un logiciel malveillant d’un genre nouveau, sans signature connue, ce qui a rendu sa détection encore plus difficile par les chercheurs.

Enfin, Stuxnet contient un rootkit lui permettant de prendre le contrôle d’un système de surveillance afin de passer totalement inaperçu.

Les vers appartenant à la même catégorie que Stuxnet ne constituent une menace que pour les réseaux industriels. Certaines bonnes pratiques en matière de cybersécurité éviteront à ces entreprises d’être la cible de ce type de logiciels malveillants.

• Veillez à utiliser un réseau avec pare-feu afin de protéger votre réseau industriel pour empêcher la propagation des virus et malwares.
• Définissez une liste blanche d’applications autorisées sur votre réseau pour bloquer l’accès à tout acteur malveillant.
• Formez vos équipes à utiliser des mots de passe complexes et uniques : un seul mot de passe piraté peut avoir des conséquences catastrophiques à l’échelle d’une infrastructure entière.
• Surveillez de près votre réseau afin de détecter toute activité inhabituelle.
• Maintenez des politiques strictes en matière de périphériques, afin d’éviter que des clés USB infectées ne soient connectées à vos appareils.

Par ailleurs, que vous soyez un particulier ou une entreprise, d’autres recommandations plus générales s’avèrent utiles pour vous protéger des attaques de malwares.

• Ne cliquez jamais sur un lien douteux envoyé par e-mail. Celui-ci risque de vous rediriger vers un site web destiné à subtiliser vos données personnelles.
• Utilisez un VPN pour chiffrer vos données en ligne et activez la Protection Anti-menaces Pro pour empêcher le téléchargement accidentel de logiciels malveillants.

Restez à l’abri des cybercriminels. Protégez votre activité en ligne dès maintenant !