Celui qui avait lancé l’infection
Un ingénieur au profil d'aventurier, des clés USB et des étonnantes pompes à eau vecteurs du malware: la dissémination de Stuxnet a des airs de polar d'espionnage.
Bonjour,
Bienvenue dans ce dernier épisode de votre newsletter Pwned sur Stuxnet. Pour rappel, si vous aimez ces histoires, vous pouvez vous abonner directement via ce formulaire.
Ces deux dernières semaines, je vous ai raconté déjà pas mal de choses sur Stuxnet, ce programme malveillant qui visait à saboter l’industrie nucléaire iranienne. Une façon pour les Etats-Unis, le concepteur du virus avec Israël, de gagner du temps en retardant le programme atomique de Téhéran.
Dix ans après la découverte du logiciel malveillant, le mystère règne encore sur les modalités précises de l’infection par Stuxnet des ordinateurs iraniens d'un site de recherche nucléaire ultra sécurisé. Mais on a quand même appris des choses intéressantes au fil des ans.
En septembre 2019, les journalistes Kim Zetter et Huib Modderkolk signent ainsi de nouvelles révélations. Après une longue enquête, les deux compères en arrivent à la conclusion suivante : une taupe a été recrutée en Iran par des espions néerlandais, à la demande de la CIA et du Mossad, l’un des services de renseignement israélien.
Vous le voyez, on est en plein roman d’espionnage. Mais ce n’est pas de la fiction, et tout cela n’a rien d’une blague. En 2010, le média israélien Debka faisait déjà état d’une rumeur, celle de l’exécution de plusieurs scientifiques et techniciens soupçonnés d’avoir aidé à propager Stuxnet. A l'époque, ce n'était qu'une rumeur, que Zetter et Modderkolk vont réussir à confirmer, du moins le scénario.
La taupe était en réalité un ingénieur néérlandais, basé en Iran, qui avait réussi à travailler sur le site de recherche iranien de Natanz. C’est lui qui a donné des informations clés pour aider les auteurs du malware à cibler précisément les centrifugeuses. C’est également cette taupe qui a permis la première dissémination de Stuxnet via une clé USB. Son nom? Erik van Sabben, a raconté finalement il y a quelques mois Huib Modderkolk, dans un long article dévoilant les derniers secrets de l'affaire.
Pour cet ingénieur, tout avait commencé en 2005. Celui à qui on prête un profil d’aventurier travaille dans la logistique d'un groupe de transport basé à Dubaï, une plateforme idéale pour des services de renseignement pour se projeter dans la région. Et ça ne manque pas : il est recruté par les services néerlandais, l’AIVD.
Dans l’affaire Stuxnet, Van Sabben a été chargé d’installer dans le complexe nucléaire iranien des pompes à eau. Sans trop de peine, il s'exécute et met en place ces fameuses pompes sur le site de Natanz dans le courant de l'année 2007. Puis, peu de temps après, l’ingénieur quitte précipitamment l’Iran. Quelques mois plus tard, le 16 janvier 2009, il meurt dans un accident de moto près de Dubaï, a priori un accident.
Que savaient exactement Van Sabben et le renseignement néerlandais sur la nature de ce cadeau empoisonné? Si l’ingénieur aurait été mis dans la confidence du but final de l’opération, saboter le programme nucléaire iranien, il n’aurait pas su que les pompes à eau dissimulaient un programme malveillant destiné à se propager une fois connecté au réseau informatique interne.
Comme vous le voyez, on ne parle plus ici de clés USB, censées également avoir permis la dissémination du malware. Mais les deux théories restent plausibles. Elles peuvent sans doute se rejoindre, les deux ayant pu être opérées en parallèle. Malgré les récentes révélations, tout n’est donc pas encore clair dans cette histoire.
Prenons par exemple les participants à “Olympic Games” - pour rappel il y a cinq anneaux olympiques. Outre les Etats-Unis et Israël qui auraient été impliqués, les Pays-Bas avaient des informations clés à partager. Les centrifugeuses de Natanz étaient basées sur des plans volés à une entreprise néerlandaise. Mais selon Kim Zetter et Huib Modderkolk, dans leur papier publié en 2019, l’Allemagne, la France et le renseignement britannique auraient également joué un rôle dans l’affaire. Berlin aurait fourni des informations sur les systèmes de contrôle industriel Siemens, tout comme Paris.
On verra si un jour on aura le fin mot de l’histoire. A ce sujet, “il y avait tellement de choses qui devaient mal tourner pour que Stuxnet et son arsenal d’outils soient découverts et déchiffrés qu’il est incroyable qu’elles se soient produites”, rapportait Kim Zetter, un bon résumé signalé dans son bouquin par Martin Untersinger. Et ce dernier de s’interroger : combien d'opérations de ce type, menées par les Israéliens et les Américains, ont ainsi échappé à la lumière?
Stuxnet est une arme très perfectionnée qui a été peaufinée pendant des années - Symantec retrouvera une première version datant de 2005 pour des premiers tests réussis l’année suivante. Mais c’est aussi un logiciel raté. Bien qu’il ait permis de retarder le programme d’enrichissement iranien, il s’est fait remarquer à cause d’un banal blocage d’un ordinateur Windows. S’il a réussi à viser une usine bien précise, le malware s'est finalement disséminé un peu partout à partir de l’été 2010, sans doute parce que la cible commençait à échapper au malware et qu’il fallait augmenter la probabilité que ce dernier touche de nouvelles centrifugeuses.
Pas idéal pour une arme secrète et ultra sophistiquée dont a perdu le contrôle. Stuxnet se diffusera ainsi bien au-delà des seules frontières iraniennes. L’éditeur Kaspersky affirme même que le virus aurait fini dans la station spatiale internationale et dans une centrale nucléaire russe, heureusement sans centrifugeuses.
A bientôt pour une nouvelle histoire de cybercrime.
Bonne journée,
Relecture: Mnyo
PS: Si vous voulez me payer un café, c’est par ici (bc1qhx49fpxcnlpe35z4z2j4wmrazpvz7a3ejm4rex), vous avez également ma page Tipeee.
Sources
Revealed: How a secret Dutch mole aided the U.S.-Israeli Stuxnet cyberattack on Iran
Iran may have executed nuclear staffers over Stuxnet
Sabotage in Iran Een missie in duisternis