Ceux qui cherchaient à saboter le programme nucléaire iranien

L’enquête sur les créateurs de Stuxnet va s’éclaircir petit à petit et se resserrer autour de deux pays.

oct. 20, 2024

Bonjour,

Bienvenue dans la suite de cet épisode de Pwned sur Stuxnet. Au passage, si vous aimez ces histoires de cybercrime, signalez-les à votre entourage, vous pouvez utiliser ce formulaire pour parrainer des proches.

Référez un ami

La semaine dernière, je vous parlais de la découverte de Stuxnet. On comprend très vite que ce logiciel malveillant cherche à saboter des automates industriels très précis… qu’on retrouve notamment dans l'industrie du nucléaire!

Le logiciel malveillant s'est propagé sur de nombreux ordinateurs. Mais c'est en Iran que l'épidémie est la plus virulente. Le pays déplore effectivement 30 000 machines infectées par le ver. Manifestement, quelqu’un cherche à “détruire les centrifugeuses de gaz iraniennes, qui peuvent produire de l'uranium enrichi pour du combustible nucléaire et des bombes nucléaires”, résume un chercheur cité par Le Monde.

Stuxnet vise à casser les rotors des centrifugeuses. Des outils cruciaux pour l’Iran, qui cherche à l'époque à se doter de l’arme nucléaire en dépit de l'hostilité des pays occidentaux à l'égard de ses ambitions. Son programme d’enrichissement d'uranium est d’ailleurs enfoui dans des usines souterraines pour empêcher une frappe militaire préventive.

Un détail à l’époque attire l’attention. Pour signaler une nouvelle infection, Stuxnet définit une valeur de registre, “19790509”, une suite de chiffres arbitraires en apparence. Mais celle-ci pourrait aussi correspondre à la date de l’exécution à Téhéran d’un juif persan accusé d’avoir espionné pour le compte d'Israël. Simple coïncidence ou marque intentionnellement laissée?

En cet automne 2010, cela ne reste qu’une hypothèse qui devra être confirmée par des témoignages, des analyses techniques, etc. D’ailleurs, les théories se multiplient : un américain, Jeffrey Carr, voit plutôt dans Stuxnet un malware chinois destiné à cibler un satellite indien.

Quelques personnes ont alors essayé, à raison, de faire preuve de réalisme. L’ingénieur d’études Daniel Ventre est l’un des experts cités dans ce papier de feu Owni. “Stuxnet est sur le Net depuis plus d’un an. Il a pu être reprogrammé pour s’attaquer aux systèmes Scada [l’informatique industrielle], mais la semaine prochaine, nous découvrirons peut-être qu’il visait une autre cible”, prévient-il.

La star de la sécurité informatique Bruce Schneier rappelle également qu’on manque de preuves pour prouver que la cible était bien l’une des centrales nucléaires iraniennes. Il résume à l'époque les éléments les plus solides: on sait que le programme a été vraisemblablement long à écrire, environ six mois pour une équipe de 8 à 10 personnes, et qu’il s’appuie sur des vulnérabilités 0-day coûteuses et recherchées.

Mais cela ne dit pas qui l’a mis au point et dans quel but. Bruce Schneier revient également sur la valeur de registre qui révélerait l’implication d’Israël. L'expert en cryptographie juge l'affirmation un peu prématurée dans la mesure où le code a été soigneusement nettoyé pour ne pas laisser de traces. Et puis on ne peut pas exclure qu’un pays tiers aurait laissé ce genre d’indices justement pour faire accuser l’Etat hébreu. En conclusion de cet article publié en octobre 2010, Bruce Schneier se risque à une prédiction : il suppose que les auteurs et sa cible resteront à jamais un mystère. Eh bien, non, c’est faux, comme on va le voir.

En juin 2012, le journaliste David Sanger lâche une bombe dans le New-York Times: le journaliste américain cherche alors à faire le teasing de son bouquin choc, “Confront and Conceal: Obama’s Secret Wars and Surprising Use of American Power”. S’appuyant sur des sources dans l’administration US, la célèbre plume y explique que Stuxnet fait partie d’un programme plus large appelé “Olympic Games” et qui visait effectivement à saboter l'effort iranien pour enrichir de l'uranium.

Le logiciel malveillant était ainsi destiné à infecter les équipements du centre de Natanz, un site iranien utilisé pour la recherche sur le nucléaire. Dans son enquête, on apprend d'ailleurs que le malware n’aurait jamais dû s’échapper de cette usine. L'histoire du programme a en fait commencé en 2006, sous l’administration Bush. Ayant du mal à rassembler la communauté internationale contre le programme nucléaire iranien, la première puissance mondiale cherche des solutions plus radicales pour enrayer les progrès de Téhéran.

Un bombardement militaire semble très incertain tandis que les sabotages menés par la CIA ne sont pas très efficaces. Alors les conseillers du président américain vont proposer une troisième option, inédite à l'époque : la cyberguerre. Mettre au point Stuxnet n’a sans doute pas été simple. Les ingénieurs américains ont d’ailleurs effectivement travaillé avec l'aide des services israéliens. Le journaliste raconte que le programme Olympic Games a bénéficié d'un coup de main de la célèbre unité 8200 israélienne : des agents spécialisés dans le numérique et le décryptage des codes. En d'autres termes, les geeks de Tsahal.

Mettre Tel-Aviv dans la boucle était sans doute également une façon, pour les Etats-Unis, d’éviter des initiatives solitaires de leur allié. Pour débuter la conception du virus, les deux pays achètent des répliques des centrifugeuses iraniennes. C’est toujours la méthode privilégiée quand on cherche à s'attaquer à des équipements un peu spécifiques. Les ingénieurs du programme Olympic Games vont alors plancher sur un seul objectif : comprendre comment les pirater afin de les détruire physiquement. “Un jour, vers la fin du mandat de M. Bush, les décombres d'une centrifugeuse ont été étalés sur la table de conférence, preuve de la puissance potentielle d'une cyberarme”, écrit David Sanger.

Le malware est alors prêt à être utilisé. Selon Kim Zetter, qui rassemble les pièces du puzzle dans son livre “Countdown to Zero Day”, la première infection sur le site de Natanz date de juin 2009. Avant de se propager, presque une semaine plus tard, à une société d’ingénierie gravitant autour du complexe nucléaire iranien. Mais comment ont fait les responsables du programme pour introduire le ver sur les machines visées ? Les contrôleurs des centrifugeuses ne sont en effet absolument pas connectés à Internet, sécurité oblige. Dans le milieu on appelle cela un “Air gap” et c'est considéré comme une protection particulièrement efficace.

Le journaliste David Sanger mentionnait simplement une infection via des clés USB, sans donner vraiment plus de détails. On ne sait pas à l'époque qui s'est chargé d'emmener les premières clefs vérolées au cœur du centre de recherche de Natanz. Les derniers éléments de réponse finiront bien par arriver, mais douze ans plus tard.

On en reparle la semaine prochaine,

Bonne journée,

Gabriel

Relecture: Mnyo

PS: Si vous voulez me payer un café, c’est par ici (bc1qhx49fpxcnlpe35z4z2j4wmrazpvz7a3ejm4rex), vous avez également ma page Tipeee.

Sources

Le virus Stuxnet viserait le nucléaire iranien

How to destroy a gas centrifuge

L'Iran enterre son programme nucléaire dans des tunnels

StuxNet réinvente la propagande

Stuxnet, le mythe de la cyberguerre mondiale

The Stuxnet Worm