Comment le virus Stuxnet s'en est pris au programme nucléaire iranien

Les experts sont maintenant convaincus que le virus a été conçu pour s'attaquer aux centrifugeuses de Natanz utilisées par Téhéran pour enrichir l'uranium.

Vue aérienne de l'usine iranienne d'enrichissement d'uranium de Natanz Reuters

- Vue aérienne de l'usine iranienne d'enrichissement d'uranium de Natanz. Reuters -

Les experts commencent à en savoir plus sur le virus Stuxnet qui a contaminé les ordinateurs iraniens et notamment ceux utilisés dans son programme d'armement nucléaire. Les chercheurs américains et allemands ont décortiqué le programme informatique du virus qui, contrairement aux autres de type «familiaux» semble aujourd'hui clairement avoir été conçu «sur mesure». Ils sont à présent convaincus qu’il a même été fabriqué pour s’attaquer spécifiquement aux sites nucléaires iraniens. Ils ont poussé leurs analyses jusqu’à préciser que Stuxnet devait saboter exclusivement les alimentations électroniques des centrifugeuses nucléaires. Ils ne sont pas encore venus à bout de tout le code qui s’imbrique comme un puzzle à l’intérieur du système de contrôle informatique d'une usine, mais la tâche n’était pas aisée. Il semble aujourd’hui qu’ils aient réussi à détecter l’un des objectifs précis de cette arme de destruction nouvelle génération.

Contrôle des moteurs des centrifugeuses

Les chercheurs américains ont constaté que le virus avait la capacité de prendre le contrôle des processus industriels d’une centrale nucléaire mais la finalité de l’opération était encore trouble car cette prise de contrôle semblait passive. Après analyse du code du virus, ils sont parvenus à la même conclusion que les experts de la société de sécurité informatique Symantec. L’objectif du virus consistait formellement à atteindre la centrale de Bushehr et les centrifugeuses nucléaires de Natanz.

Les concepteurs de ce virus n’ont pas seulement réussi à attaquer spécifiquement le système interne de contrôle des ordinateurs Siemens (PLC) qui gèrent le programme nucléaire iranien. Ils ont surtout permis au virus d’identifier précisément ses cibles grâce à leur identification informatique et de bloquer la fabrication de combustible enrichi sans créer de risque d'explosion ou d'incident majeur. Le but était d’atteindre le convertisseur de fréquence, conçu uniquement en Finlande et à Téhéran, chargé de gérer la rotation des moteurs des centrifugeuses, par l’intermédiaire du système PLC de Siemens qui envoie les commandes de réglage de la vitesse des moteurs de production. Le virus Stuxnet a réussi à cibler les lecteurs spécifiques chargés d’intervenir dans la vitesse, nécessairement élevée, de la centrifugeuse dont le rôle est de séparer physiquement les isotopes de l’uranium pour fabriquer un combustible nucléaire hautement enrichi.

Le chercheur Eric Chien, de Symantec, explique dans son blog que les experts ont trouvé dans le code de Stuxnet des éléments prouvant qu’il était capable de ralentir cette vitesse pour empêcher le raffinage ou alors de l’augmenter pour entrainer l’explosion des centrifugeuses. Il avait même le moyen d’alterner petite et grande vitesse des moteurs pour saboter complètement le fonctionnement normal:

«Stuxnet modifie la fréquence de sortie et donc la vitesse des moteurs pour de courts intervalles pendant des mois. Intervenir dans la vitesse des moteurs sabote le fonctionnement normal du contrôle des processus industriels.»

Un expert allemand de la cyberguerre Ralph Langner, longuement cité à la fois par le New York Times et le Jerusalem Post, est encore plus catégorique. Selon lui, Stuxnet a été surtout conçu pour faire exploser les centrifugeuses:  

«Un objectif raisonnable de l'attaque consistait à détruire le rotor de centrifugeuse par les vibrations, ce qui provoque l’explosion de la centrifugeuse.»

Et l'attaque contre Stuxnet a été suivie, toujours selon Ralph Langner, d'une seconde attaque différente, «une deuxième frappe» qui visait cette fois la centrale de Bushehr et les systèmes de contrôle de la turbine du réacteur nucléaire.

Unité militaire 8200 de Tsahal

Ces découvertes, confirmant que la centrale de Natanz a bien été infectée par Stuxnet en 2009, sont corroborées par l'Agence internationale de l'énergie atomique qui a noté une baisse brutale du nombre de centrifugeuses en activité sur le site de Natanz. Les experts ont ensuite constaté que Stuxnet avait une capacité à se reproduire dans les systèmes complexes à plusieurs automates interconnectés, comme à Bushehr. Il était capable de se mettre en veilleuse au moment du remplacement des centrifugeuses défectueuses, pendant quelque temps, pour permettre un fonctionnement normal qui empêcherait sa détection et puis ensuite, de lancer à nouveau sa cyber-attaque.  L’intérêt d’une telle attaque réside dans la possibilité de toucher des centrales nucléaires secrètes non détectées à ce jour.

Stuxnet a été au départ mal compris car le virus en s’attaquant aux systèmes industriels informatiques internes de Siemens a touché des cibles secondaires comme les forages pétroliers et gaziers et les systèmes d’approvisionnement en eau. L’idée de l’attaque spécifique des sites nucléaires n’a pas alors semblé évidente à certains experts et aux autorités iraniennes. Elle est confirmée aujourd’hui.   

Les experts qui ont décortiqué le code de Stuxnet sont ainsi convaincus que seuls des pays à haute capacité technologique peuvent être à l’origine de sa conception et notamment pointe les Etats-Unis et Israël. Ralph Langner évoque «un chasseur F-35 arrivant sur un champs de bataille de la première guerre mondiale». Il estime qu'il a fallu des années de travail pour créer des virus aussi sophistiqués et précis.

On évoque à nouveau l'existence de l’unité militaire 8200 de Tsahal qui aurait réalisé, avec la collaboration américaine, ce virus destructeur. Israël et les Etats-Unis sont d’ailleurs les seuls pays qui cherchent à s’attaquer directement au programme d'armement nucléaire de l’Iran. Mais là encore, on ne prête qu’aux riches.

Jacques Benillouche

Devenez fan sur , suivez-nous sur
 
L'AUTEUR
Journaliste indépendant (Israël). Jacques Benillouche tient un blog, Temps et Contretemps. Ses articles
TOPICS
PARTAGER
LISIBILITÉ > taille de la police
SLATE CONSEILLE
Téhéran impuissant
La guerre secrète entre Israël et l'Iran
Le mythe de la cyberguerre mondiale
Réagir
Visiteur anonyme
Se connecter/créer un compte
Vous devez vous connecter pour poster un commentaire.

Vous pouvez vous connecter avec votre compte Slate, ou grâce à votre compte Facebook, Twitter, Gmail ou Yahoo.
8 réactions
Aucun expert ne confirmerait les "certitudes" de ce monsieur
Soumis par Gad, le mardi 23 novembre 2010 à 9h23
Il est assez divertissant de lire ce petit roman d'espionnage conçu à partir de "recoupements" de prétendus experts auto-proclamés, comme ce journaliste allemand mentionné par le NYT et d'autres gazettes avides de sensations. En réalité, il suffit de lire les précautions sémantiques prises partout ailleurs, sauf dans le journalisme à scandale, pour se rendre compte qu'on sait très peu de choses sur ce malware et que l'incompétence n'est pas en soi, un gage de bonne conduite. Le directeur du site de Nanojv, Dominique Bourra, qui a travaillé de longues années sur les programmes scientifiques binationaux et interrogé les pointures de symantec, l'ISIS, etc. n'a que ces quelques mots désabusés : "pourquoi pas?" En fait, le malware a pu éventuellement endommagé quelques centrifugeuses de type P1, mais pas celles de type P2. Plus grave, un pseudo-expert¨allemand a déclaré Israël coupable en juin 2010, à partir de fausses inductions de type conspirationniste : les premières séquelles apparaissent en Biélorussie sur du matiériel Siemens. L
Aucun expert sérieux ne confirmerait ces spéculations
Soumis par Gad, le mardi 23 novembre 2010 à 9h40
C'est assez divertissant de voir d'auto-proclamés "experts", sur la bonne foi de journalistes à scandale (dont le journaliste allemand à l'origine de la rumeur) s'en payer une tranche à la santé de la sulfureuse "unité 8200"!

Il manque juste la bande-annonce du film...

En réalité, tous les experts sérieux (Symantec, ISIS...) sont totalement dans l'expectative et ils n'annoncent que l'heure H d'une cybercriminalité (et ses rumeurs), où tous les coups seront permis. Donc prévention et contre-mesures.

Ce qu'on sait (chez ISIS), c'est que le malware a peut-être pu endommager certaines centrifugeuses de type ancien : P1, mais absolument pas celles de t. P2. Et, avec toutes les précautions sémantiques que ne prend pas ici le moindre journaliste : de conclure que "Pourquoi pas", mais c'est tout.

http://nanojv.wordpress.com/2010/11/23/stuxnet-isis-123/

A l'origine, un journaliste allemand, auto-proclamé expert, a relevé que le malware avait d'abord été enregistré en Biélorussie. C'est un etat-voyou qui copine avec l'Iran, ensuite 60% d'ordinateurs iraniens se trouvent infectés : "DONC"! mais oui, mais c'est bien sûr! Qui peut avoir intérêt à fiche le bazar à Téhéran? Je vous le donne en mille!Laissez venir à moi les gogos...

Voilà sur quoi reposent la plupart des élucubrations du NYT, ici reprises la bouche en coeur, peu importe pourvu qu'on ait le buzz!

L'investigation un tant soit peu sérieuse consiste à partir avec un crayon ou un micro à l'assaut des officines un peu informées et d'en faire une synthèse cohérente.Ce n'est pas ce qu'on voit dans cette pêche à la rumeur.

Galéjades, amuse-gueule, le sujet fait vendre. On se fait passer pour "les milieux autorisés disent que", "m'informent en exclusivité que...". Et on le repasse aux copains. Et ça marche. Pour ce qui est de "l'expertise", il faudra repasser.

Misère du "journalisme", "journalisme" de la misère...
Pour se faire une idée plus avancée
Soumis par Sillytoto, le mardi 23 novembre 2010 à 16h26
Je constate qu'un tel article est très difficile à justifier, alors j'ai eu envie d'en savoir plus.

Le dossier d'analyse de Symantec (http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/w32_stuxnet_dossier.pdf)est captivant (au moins pour des informaticiens) et certainement effrayant.

@Gad, au risque de passer pour un gogo et à moins d'une vaste entreprise de désinformation relayée par Symantec, sans sombrer dans l'hystérie ni le buzz, je me suis formé l'intime conviction que Stuxnet a bel et bien provoqué de nombreuses centrifugeuses en Iran, bien avant qu'il ne soit détecté.

Cdlt,

Silly
@GAD SPECULATIONS ?
Soumis par Jacques BENILLOUCHE, le mardi 23 novembre 2010 à 19h25
Il est bon et sain d’être sceptique sur ce qui se dit et s’écrit, par les journalistes surtout. Cela permet d’éviter de gober n’importe quoi. Mais il faut bien se fier à certaines déclarations officielles sauf à les considérer comme une manœuvre d’intoxication ou un leurre.

Je laisserai donc de côté mes sources sérieuses qui se sont toujours révélées exactes pour me borner à analyser les déclarations des dirigeants iraniens.

Le 26 septembre Mahmoud Liayi, responsable des technologies de l'information au ministère de l'Industrie, a dénombré 30 000 adresses IP, identifiant un ordinateur, infectées par Stuxnet. C'est «probablement un gouvernement étranger qui est à l'origine de ce virus compte tenu de sa complexité», a estimé M. Liayi, sans précision sur l'éventuel agresseur.

Le 27 septembre Amid Alipour, directeur adjoint de la société d’Etat iranienne des technologies informatiques a précisé : « Nous surveillons et contrôlons le développement du virus. Nous avions prévu de l'éliminer en deux mois, mais il n'est pas stable, et trois nouvelles versions sont apparues depuis que nous avons commencé les opérations de nettoyage ».

Enfin le 29 septembre, le commandant adjoint des Gardiens de la Révolution, Hossein Salami, a déclaré que toutes les structures de défense, dans le pays, étaient mobilisées contre cette guerre cybernétique et qu’un plan spécial avait été élaboré pour la centrale nucléaire de Bushehr. Il révélait ainsi que le virus Stuxnet avait infecté les systèmes d’acquisition de données et de contrôle des centraux informatiques de Bushehr.

Il s'agit peut-être de spéculations mais elles semblent suffisamment fondées pour les recouper avec les souces israéliennes.

Merci pour votre commentaire
la vérité est ailleurs
Soumis par sandy keelow, le mardi 23 novembre 2010 à 20h15
Sans être adepte des théories du complot je pencherais plutôt du même côté que Gad sur ce coup... Les histoires d'espionnage ce n'est pas nouveau c'est du pain béni pour les medias en général, vous pouvez raconter ce que vous voulez (mieux l'histoire est parfois déjà écrite pour vous) En effet on imagine mal des agents de la CIA ou du MOSSAD venant avec leur code sous le bras prouver que c'est bien eux les auteurs, SIEMENS ne dira jamais rien sous couvert de secret industriel et commercial, et je ne crois pas que les Iraniens vous fourniront des renseignements de première fiabilité... Rajoutez par la dessus un bon nappage d'internet un peu mystérieux et vous tenez un filon, à la limite je conseillerais de rajouter des références même indirectes à Steve Jobs et à Apple dans les articles ça attire fort le lecteur aussi paraît-il... Quant aux sociétés de "sécurité" qui créent les antivirus quand on voit qui les dirige et qui les finance (on a en gros le choix entre des scientologues et des mafieux russes) si je vous disais ce que j'en pense ça ne passerait pas la modération de Slate ;-) PS: quand j'ai vu le titre de l'article je savais déjà qu'il serait écrit par Mr Benillouche et quel serait son contenu, hasard ?
Une chose que je ne comprend pas mais vraiment pas du tout
Soumis par rookmoot, le mardi 23 novembre 2010 à 22h57
Pourquoi les iraniens laisseraient t'ils leur système informatique de leur centrale branchée vers l'extérieur et pourquoi les centrifugeuses ne seraient pas isolée du réseau de la centrale ??? et le réseau de la centrale isolé de l'extérieur ? ça parait tellement évident, et tellement simple de débranché un câble réseau, même moi je peux le faire après ça les virus ils peuvent toujours frapper à la porte avec leurs petites pâtes je leur ouvrirait pas.

A moins que ma nullité en informatique m'a fait omettre quelques chose ?
@rookmoot Système d'exploitation
Soumis par Jacques BENILLOUCHE, le mercredi 24 novembre 2010 à 8h52
Je me permets d’apporter des précisions au fonctionnement de Stuxnet.

Tout ordinateur a besoin d’un système d’exploitation pour fonctionner. Ce système est l’ensemble des programmes qui sert d’interface entre le matériel et les logiciels applicatifs par exemple : Windows, MS/DOS, Os, Unix, Linux… Il gère la mémoire, les disques, les écrans, le réseau et toutes les machines reliées à l’ordinateur. Chaque constructeur a son propre d’exploitation comme c’est le cas pour Siemens :WinCC Les usines iraniennes, comme toutes les usines du monde, fonctionnent sous le contrôle d’un ordinateur qui gère et règle les machines. Téhéran a choisi les ordinateurs Siemens. Selon nos informations, Stuxnet a été introduit directement à l’intérieur du système d’exploitation de Siemens pour modifier le programme et la vitesse de rotation des centrifugeuses. Il n’est pas nécessaire d’être relié à internet.

La seule solution est de supprimer le système d’exploitation donc de supprimer les ordinateurs ou de changer de constructeur.
question
Soumis par RayanToccupe, le samedi 25 décembre 2010 à 15h13
les iraniens fabriquent leurs propres ordinateurs, vous ne les croyez pas capable de tout remplacer et d' y installer des systemes saints ?

ensuite pour les centrifugeuses est ce que stuxnet attaque aussi les systemes de gestion turcs, les iraniens en ont acheté aux turcs .

enfin, les informarmaticiens iraniens ne peuvent pas nettoyer leurs systémes eux-même ? d'apres vous il n'en sont pas capables ?

merci de me repondre.
D'autres ont aimé »
Publié le 21/11/2010
Mis à jour le 22/11/2010 à 9h43
8 réactions