Stuxnet

Stuxnet est un ver informatique utilisé pour attaquer les installations nucléaires iraniennes. Apprenez-en plus sur cette cyberattaque significative ci-dessous.

ANTIVIRUS GRATUIT

Qu'est-ce que Stuxnet ?

Stuxnet est un ver informatique malveillant devenu célèbre pour son utilisation dans l'attaque des installations nucléaires iraniennes. Cette attaque a fait les gros titres mondiaux en 2010 lors de sa découverte. Comme l'a dit Jérôme Segura, le directeur principal de l'intelligence sur les menaces de Malwarebytes, dans son article Stuxnet : nouvelle lumière à travers de vieilles fenêtres, « Très peu de morceaux de malware ont attiré l'attention mondiale comme Stuxnet. »

Bien qu'en tant que ver informatique, Stuxnet soit un logiciel malveillant, il a été utilisé pour attaquer des équipements électromécaniques. Comme dans le cas de l'importante attaque en Iran, les attaquants ont utilisé Stuxnet pour exploiter plusieurs vulnérabilités zero-day de Windows, rechercher sur des PC infectés une connexion avec le logiciel contrôlant l'équipement électromécanique, et envoyer des instructions destinées à endommager cet équipement. Alors que de nombreux types de malwares infectent un ordinateur via Internet, une autre caractéristique unique de l'attaque de Stuxnet en Iran est que le malware a été introduit sur les PC via des clés USB infectées.  

Stuxnet est-il un virus ?

Beaucoup de gens appellent le malware « Stuxnet virus » bien que ce ne soit pas un virus informatique — c'est un ver informatique. Bien que les virus et les vers soient des types de malware qui peuvent corrompre des fichiers, un ver informatique peut être bien plus sophistiqué. Pour commencer, contrairement à un virus, un ver n'a pas besoin d'interaction humaine pour s'activer. Au lieu de cela, il se propage tout seul, parfois très largement après être entré dans un système. En plus de supprimer des données, un ver informatique peut saturer les réseaux, consommer de la bande passante, ouvrir une porte dérobée, réduire l'espace disque dur et déposer d'autres malwares dangereux comme des rootkits, des spywares et des ransomwares.

Qu'était l'attaque de Stuxnet en Iran ?

Selon le livre « Countdown to Zero Day : Stuxnet et le lancement de la première arme numérique mondiale », en 2010, les inspecteurs visiteurs de l'Agence de l'énergie atomique ont été surpris de voir de nombreuses centrifugeuses iraniennes échouer. Ni les Iraniens ni les inspecteurs ne pouvaient comprendre pourquoi les équipements Siemens, conçus pour enrichir l'uranium alimentant les réacteurs nucléaires, fonctionnaient si mal.

Il était difficile d'imaginer qu'un logiciel malveillant en était la cause. Après tout, les installations nucléaires de l'Iran étaient séparées du réseau — ce qui signifie qu'elles n'étaient pas connectées à un réseau ou à Internet. Pour qu'une attaque par malware se produise dans l'usine d'enrichissement d'uranium air-gappée, quelqu'un devait avoir consciemment ou inconsciemment introduit le malware physiquement, peut-être via une clé USB infectée.

Lorsqu'une équipe de sécurité du Bélarus est venue enquêter sur certains ordinateurs défectueux en Iran, elle a trouvé un logiciel malveillant hautement complexe. Ce malware agressif devait par la suite se propager davantage, les chercheurs le surnommant Stuxnet, la « première arme numérique mondiale ».

Pourquoi Stuxnet était-il si dangereux ?

Les experts considèrent Stuxnet comme un code d'une complexité incroyable et la première cyberarme mondiale. Il aurait physiquement dégradé près de 1000 centrifugeuses iraniennes en infectant les contrôleurs logiques programmables (PLC) qui contrôlaient les centrifugeuses et les sabotant.  

Les centrifugeuses tournent à des vitesses extraordinairement rapides, créant une force plusieurs fois supérieure à la gravité pour séparer les éléments dans le gaz d'uranium. Le ver a manipulé la vitesse de fonctionnement des centrifugeuses, créant suffisamment de stress pour les endommager. Stuxnet a pris son temps, attendant des semaines pour ralentir les centrifugeuses après les avoir accélérées temporairement, rendant ses activités difficiles à détecter.

Stuxnet était également difficile à détecter car c'était un malware complètement nouveau, une menace émergente sans signature connue. En outre, Stuxnet exploitait plusieurs vulnérabilités dites zero-day, qui sont des failles de sécurité logicielles non corrigées.

Stuxnet envoyait également de faux signaux d'instrumentation de processus industriel pour masquer sa présence et ses activités malveillantes. De plus, Stuxnet était capable de déposer un rootkit. Les rootkits peuvent donner à un acteur de menace le contrôle d'un système à son cœur. Avec une installation de rootkit, Stuxnet était plus capable d'actions furtives.

Meilleures pratiques de cybersécurité pour les réseaux industriels

Des mesures de cybersécurité solides sont cruciales pour toute entreprise. Les rapports d'attaques informatiques font régulièrement les gros titres, et ce n'est pas toujours un logiciel malveillant attaquant un logiciel utile ; comme dans le cas de Stuxnet, le malware peut être utilisé pour attaquer finalement des appareils électromécaniques, du matériel et des infrastructures.

L'un des incidents de cybersécurité les plus notables de 2021 a été une attaque par ransomware qui a fermé le plus grand pipeline de carburant des États-Unis pendant près d'une semaine. Il a été déterminé plus tard qu'un seul mot de passe compromis avait permis l'attaque. Parmi les autres cibles des attaques par ransomware de l'année figurent le plus grand transformateur de viande au monde et le service de ferry le plus important du Massachusetts.

Qu'il s'agisse de ransomwares, de vers informatiques, de phishing, de compromission de courrier électronique d'entreprise (BEC), ou d'une autre menace qui vous empêche de dormir la nuit, vous pouvez prendre des mesures pour protéger votre entreprise. Dans notre mission de protéger tous contre les cybermenaces, Malwarebytes propose des solutions de sécurité aux entreprises de toutes tailles. Votre entreprise peut également adopter les meilleures pratiques de sécurité, telles que :

  • Appliquez une politique stricte d'apportez votre propre appareil (BYOD) qui empêche les employés et les sous-traitants d'introduire d'éventuelles menaces.
  • Séparez du réseau tous les ordinateurs qui pourraient affecter la sécurité nationale.
  • Séparez du réseau tous les systèmes hérités qui servent d'interfaces humaines.
  • Adoptez un régime de mots de passe sophistiqué avec authentification à deux facteurs pour entraver les attaques par force brute et empêcher les mots de passe volés de devenir des vecteurs de menace.
  • Sécurisez les ordinateurs et les réseaux avec les derniers correctifs.
  • Utilisez des logiciels de cybersécurité alimentés par l'IA avec des capacités d'apprentissage automatique.
  • Pratiquez une sauvegarde et une restauration faciles à tous les niveaux possibles pour minimiser les perturbations, en particulier pour les systèmes critiques.
  • Surveillez constamment les processeurs et serveurs pour détecter les anomalies.
  • Essayez une zone démilitarisée (DMZ) pour les réseaux industriels.
  • Consultez liste blanche des applications pour améliorer la sécurité des logiciels.

Articles associés de Malwarebytes Labs

Voulez-vous en savoir plus sur la cybersécurité et l'infrastructure ? Consultez les articles suivants de Malwarebytes Labs :