Stuxnet, vrais ZDE , faux ZDE et intox à tous les étages

Actualités - Malware - Posté on 04 Oct 2010 at 12:47 par Solange Belkhayat-Fuchs

Kostya Kortchinsky signe, une fois n’est pas coutume, un papier de vulgarisation et de synthèse lisible par tous. Et c’est à propos de Stuxnet, de ses multiples origines hypothétiques, et surtout des principaux éléments nocifs qui le constituent. L’on y croise donc deux ZDE décortiqués par l’équipe de Dave Aitel, un trou « connu mais non comblé » (MS10-061 en l’occurrence, qui ne peut donc prétendre officiellement au rang de ZDE), et une caractéristique intéressante des fichiers MOF (Managed Object Format) qui, une fois déposés dans system32\wbem\mof, se font compiler automatiquement et permettent une élévation de privilège et une exécution de commande de tout fichier téléchargé sur le disque principal. Parions que celle-là, on va nous la resservir à toutes les sauces.

Plus le temps passe, plus l’analyse de Stuxnet est instructive. Nicolas Fallière, de l’équipe de Symantec, publiait il y a peu de temps un article remarquable de clarté sur les méthodes d’infection et de propagation dudit Stuxnet. Tout çà est prodigieux de machiavélisme, d’adaptation au terrain et d’élégance technique. Une « version longue » – 49 pages de pure technique et d’analyse-, est plutôt réservée aux chercheurs et aux spécialistes. F-Secure se lance dans une longue FAQ très didactique accompagnée d’une séquence vidéo sur le sujet prise lors du dernier VB2010.

Il faudra attendre encore quelques temps avant de tirer les premières conclusions sur une autre forme d’infection qui envahit non pas les machines intégrées dans les chaines de commande de processus industriel, mais dans les rédactions des différents médias, grand-public ou professionnels. Certaines clameurs accusatrices, relayées par des confrères, accordent la paternité de Stuxnet aux S.R. israéliens et affirment que la victime n’est autre que l’Iran… sous prétexte qu’il se dénombrait plus d’infections dans ce pays que partout ailleurs. Argument qui serait risible s’il n’était pas tenu par des faiseurs d’opinions. D’autres journalistes et blogueurs regardent également du côté de la Chine, dont on sait l’intérêt pour les cyber-armes et les efforts pour constituer des corps expéditionnaires virtuels sur un champ de bataille binaire. Hypothèse raisonnable que soutient le journal Forbes, comme pourrait également l’être celle d’une action des Services Action de l’Allemagne Fédérale ou un assaut (moins plausible) des agents d’un satellite de la NSA américaine. Et puisque l’on en est au stade des prédictions frisant l’astrologie, l’on pourrait également mettre le FSB dans le bain, avec le concours amical de la mafia Russe. Délire de folliculaire ? Pourtant, il y a dans Stuxnet des relents d’attaque Estonienne. Il y a également dans Stuxnet une exploitation de la fameuse « faille .lnk » qui est liée au mécanisme d’usurpation de certificats Verisign, certificats qui auraient pu être glanés par le virus Zeus, lui-même lié aux actions de la cyber-mafia des pays de l’Est. Stuxnet peut avoir n’importe quelle nationalité. Dans l’état actuel du code rien ne permet d’affirmer quoi que ce soit à ce sujet… et quand bien même une « signature » significative aurait-elle été découverte qu’elle pourrait être considérée comme une tentative de brouillage de piste.

Une seule chose est quasi certaine : Stuxnet est un acte de guerre d’Etat, non pas en raison de la « qualité de son code » -bien que ce soit là un indice sérieux- mais en fonction de son mode de fonctionnement (cible unique Scada, démonstration de force non camouflée, action directe, espérance de durée de vie courte), mais également de ses systèmes d’adaptation et de ses redondances de fonction selon le noyau utilisé… et surtout de la débauche de moyens techniques, de ZDE, de roublardises innovantes (l’usurpation de certificats par exemple). Un tel étalement de force n’est pas dans l’habitude –la tradition ?- des auteurs de malwares, que ceux-ci soient d’obédience mafieuse ou politique, comme nous l’avions déjà évoqué dans nos colonnes.

La cible est-elle Iranienne ? Là encore, l’affirmation est à prendre avec des pincettes. Tout désigne d’ailleurs trop facilement ce pays. Dans un monde d’espionnage politico-stratégique où le faux-semblant et l’intoxication sont élevés au rang d’art, cette victimisation paraît trop crédible pour être honnête. D’autant plus que, dans l’orgie de l’orgie de pseudo-preuves évoquant d’éventuels retards dans l’installation de centrales nucléaires Iraniennes, l’on retrouve des photographies et captures d’écrans prises par des « témoins objectifs » qui sentent le faux (ou le pétrochimique… mais certainement pas le nucléaire) à plein nez.

Il y a donc deux niveaux d’exploitation de Stuxnet. L’un est purement psychologique et entre dans la catégorie désinformation et propagande. Une campagne orientée par quelques « sources discrètes », qui pourraient paradoxalement ne pas provenir des auteurs de Stuxnet mais émaner d’un autre gouvernement qui exploiterait les conséquences médiatiques de l’affaire. Si le « coup » a été monté par la Chine ou la Russie, on imagine mal des officiers supérieurs intenter un procès en paternité et atteinte à l’image de marque de leur service « malware flingueurs et rootkits-bazookas ».

Le second niveau est radicalement technique, et repose sur la fabrication du malware ainsi que sur l’analyse de son comportement en fonction de l’hétérogénéité des plateformes qu’il infecte. C’est cet aspect des choses qui nous en apprend le plus, bien plus …

Stuxnet risque-t-il d’inspirer d’autres auteurs de malwares ? La réponse est évidemment « oui ». Verra-t-on des mutations de Stuxnet ? C’est peu probable compte tenu de la complexité du désassemblage nécessaire, même si des imitations partielles sont à prévoir. Si ce virus est bien un code « militarisé », il a été conçu pour ne servir qu’une fois. Il n’est pas dans les habitudes d’un soldat ou d’un tacticien, quel que soit la couleur de son uniforme, d’utiliser deux fois de suite des ressorts ayant servi à exploiter un « effet de surprise ». Ceci étant dit, plusieurs variantes de Stuxnet (au moins 4) ont permis d’établir une sorte de calendrier des « tirs d’ajustement » précédant le « coup au but »… dont personne ne sait s’il a échoué ou non, à l’exception des parents du virus, bien sûr. Verra-t-on de nouveaux virus mafieux ou codés par des groupuscules politico-religieux s’inspirer de ce genre de conception ? Là encore, c’est très peu probable, si l’on considère l’organisation nécessaire tant à la conception, au déploiement et à l’exploitation dudit virus (et notamment sa « sélectivité » dans l’attaque). Les organisations mafieuses ou politico-religieuses recherchent des moyens plus expéditifs, moins coûteux, quelques fois affirmant ouvertement leur appartenance politique ou d’école de codage, visant plus large, et surtout ne disposant pas d’autant de moyens de contrôle et de « non-agression » lorsque la plateforme infectée ne correspond pas à l’ordre de mission.

Laisser une réponse