mardi 7 avril 2020    || Inscription
BanniereNews
 
 

La première version baptisée 0.5 aurait été beaucoup plus dangereuse et plus performante mais elle n'a pas été exploitée. Selon un expert, la raison de ce renoncement serait politique.

Notre confrère Dark Reading, publie les travaux d’un expert en sécurité Ralph Langner, lequel affirme qu’une première version de Stuxnet, baptisée 0.5 par un chercheur de Symantec, était beaucoup plus puissante et aurait pu provoquer l’anéantissement de la centrale nucléaire de Natanz. M. Langner arrive à ses conclusions après avoir réalisé des opérations de « reverse engineering » sur les différentes versions du malware qu’il a eu en sa possession. 

Dans sa première version, supposément indétectable et ne contenant ni failles zero day ni certificats numériques, le malware devait causer des dommages aux centrifugeuses installées à Natanz. La première attaque – dont on ne sait si elle a été effective – infectait les contrôleurs Siemens S7-417, en particulier les valves et capteurs de pression. Le principe de fonctionnement consistait à détruire purement et simplement les centrifugeuses avec des conséquences potentiellement désastreuses. La seconde version s’attaquait aux contrôleurs S7-315 en pertubant le fonctionnement des dites centrifugeuses mais pas en les détruisant physiquement et en évitant des dommages catastrophiques, notamment en termes humains.

Changement d'administration

Alors pourquoi un tel changement ? Ralph Langner ne l’explique que d’un point de vue politique et la concordance des dates semble lui donner raison. En effet, la première version remonte à 2005 et la seconde découverte en 2010 aurait été mise en service dans le courant de l’année 2009. En conséquence, il semble que la décision soit liée au changement d’administration entre George Bush et Barack Obama avec une implication plus importante de la NSA dans la seconde version, ceci étant suggéré par la complexité des éléments présents dans le second Stuxnet et que seule une agence comme la NSA peut maîtriser (failles zero day, certificats …)

Nous reviendrons sur ce sujet dans le prochain numéro du magazine Mag-Securs (n°41, parution fin décembre 2013). En attendant, l’intégralité du rapport de M. Langner est accessible à cette adresse.




Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Dossier

RSS
12



Événements SSI