- Réseaux Ethernet & Ethernet Industriel - http://www.reseaux-ethernet.com -

Un ver informatique qui cible les automates et scada Siemens


Je suis en train d’animer une formation sur la sécurité des réseaux et il est communément admis que la plupart des menaces sont en direction des réseaux bureautiques et de monsieur « tout le monde ».
Jusqu’à présent, le domaine industriel était plutôt épargné par son fonctionnement déconnecté d’Internet. Jusqu’à présent !
En lisant un email transmis par Benoit Minvielle (Belden), je découvre un article qui indique une cible industrielle de façon ouverte.
Ces derniers temps, une attaque fait parler d’elle car ciblant l’Iran par le biais d’un ver très virulent et destructeur portant le nom de Stuxnet.

Là où ce ver concerne le monde industriel, c’est qu’il cible les automates et outils de supervision de la marque Siemens. Pire que cela, la cible de ce ver « serait » le réacteur nucléaire de Bushehr qui a commencé sa mise en service cet été après plusieurs années de construction et après une mise en uranium le 21 août. De là à comprendre que le ver a été créé spécifiquement pour empêcher cette mise en service…

Selon un article de Jacques Cheminat du Monde Informatique [1] :

La semaine dernière, Ralph Langner, un expert très respecté sur la sécurité des systèmes industriels, a publié une analyse du logiciel, qui vise les systèmes logiciels Siemens. Il a suggéré lui aussi la même cible finale.

Les experts avaient d’abord pensé que Stuxnet avait été écrit pour voler des secrets industriels – des formules qui ont pu être utilisés pour construire des produits contrefaits. Mais Ralph Langner a trouvé quelque chose de très différent. Le ver recherche effectivement des paramètres très précis des systèmes Scada, notamment ceux de Siemens – une sorte d’empreinte digitale intégrer à un dispositif de contrôleur logique programmable (PLC) – et puis il injecte son propre code dans ce système. Le chercheur doit présenter ses conclusions lors d’une conférence de sécurité à huis clos dans le Maryland, cette semaine, qui comprendra également une discussion technique des ingénieurs de Siemens.

AJOUT: Il exploite quatre vulnérabilités dites 0-day . Une vulnérabilité 0-day est une faille de sécurité dans Windows (ou MacOS, Linux, …) qui n’est pas connue et donc non corrigée.
Ce virus est très gros (un demi méga octet de code) mais tous ses modules sont authentifiés par des certificats numériques garantis par Verisign comme s’il s’agissait de code légitime des sociétés « Realtek Semiconductor Corp. » (cartes Ethernet, Audio, Wifi,…) ou « JMicron Technology Corp. » (controleurs disque, sata, …).
Stuxnet modifie le code de l’automate article [2] décrit (en anglais – de semantes) comment l’infection se propage sur les automates Siemens.

Lire l’article sur Le Monde Informatique [1]
Lire l’article sur Mediapart [3]