Ethernet, Industriel

Un ver informatique qui cible les automates et scada Siemens

Laisser un commentaire


Je suis en train d’animer une formation sur la sécurité des réseaux et il est communément admis que la plupart des menaces sont en direction des réseaux bureautiques et de monsieur « tout le monde ».
Jusqu’à présent, le domaine industriel était plutôt épargné par son fonctionnement déconnecté d’Internet. Jusqu’à présent !
En lisant un email transmis par Benoit Minvielle (Belden), je découvre un article qui indique une cible industrielle de façon ouverte.
Ces derniers temps, une attaque fait parler d’elle car ciblant l’Iran par le biais d’un ver très virulent et destructeur portant le nom de Stuxnet.

Là où ce ver concerne le monde industriel, c’est qu’il cible les automates et outils de supervision de la marque Siemens. Pire que cela, la cible de ce ver « serait » le réacteur nucléaire de Bushehr qui a commencé sa mise en service cet été après plusieurs années de construction et après une mise en uranium le 21 août. De là à comprendre que le ver a été créé spécifiquement pour empêcher cette mise en service…

Selon un article de Jacques Cheminat du Monde Informatique :

La semaine dernière, Ralph Langner, un expert très respecté sur la sécurité des systèmes industriels, a publié une analyse du logiciel, qui vise les systèmes logiciels Siemens. Il a suggéré lui aussi la même cible finale.

Les experts avaient d’abord pensé que Stuxnet avait été écrit pour voler des secrets industriels – des formules qui ont pu être utilisés pour construire des produits contrefaits. Mais Ralph Langner a trouvé quelque chose de très différent. Le ver recherche effectivement des paramètres très précis des systèmes Scada, notamment ceux de Siemens – une sorte d’empreinte digitale intégrer à un dispositif de contrôleur logique programmable (PLC) – et puis il injecte son propre code dans ce système. Le chercheur doit présenter ses conclusions lors d’une conférence de sécurité à huis clos dans le Maryland, cette semaine, qui comprendra également une discussion technique des ingénieurs de Siemens.

AJOUT: Il exploite quatre vulnérabilités dites 0-day . Une vulnérabilité 0-day est une faille de sécurité dans Windows (ou MacOS, Linux, …) qui n’est pas connue et donc non corrigée.
Ce virus est très gros (un demi méga octet de code) mais tous ses modules sont authentifiés par des certificats numériques garantis par Verisign comme s’il s’agissait de code légitime des sociétés « Realtek Semiconductor Corp. » (cartes Ethernet, Audio, Wifi,…) ou « JMicron Technology Corp. » (controleurs disque, sata, …).
Stuxnet modifie le code de l’automate SCADA/PLC des matériels Siemens, et ce de façon très subtile car au final, après la modification effectuée, il reste indétectable par les moyens classiques des outils logiciels Siemens. Il s’insère en tête du code opérationnel mais ne modifie pas son fonctionnement, du moins jusqu’à quand …. Car c’est le comportement typique du cheval de Troie ou de la Time Bomb. Cet article décrit (en anglais – de semantes) comment l’infection se propage sur les automates Siemens.

Lire l’article sur Le Monde Informatique
Lire l’article sur Mediapart

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.