Stuxnet

Stuxnet est un ver informatique utilisé pour attaquer les installations nucléaires iraniennes. Apprenez-en plus sur cette cyberattaque significative ci-dessous.

ANTIVIRUS GRATUIT

Qu'est-ce que Stuxnet ?

Stuxnet est un ver informatique malveillant qui s'est rendu tristement célèbre en attaquant les installations nucléaires iraniennes. Cette attaque a fait les gros titres de la presse mondiale en 2010 lorsqu'elle a été découverte pour la première fois. Comme l'explique Jérôme Segura, directeur principal du renseignement sur les menaces chez Malwarebytes, dans son article intitulé Stuxnet : new light through old windows, "très peu de logiciels malveillants ont suscité autant d'attention dans le monde que Stuxnet".

Bien que Stuxnet soit un ver informatique malveillant, il a été utilisé pour attaquer des équipements électromécaniques. Comme dans le cas de l'attaque majeure en Iran, les attaquants ont utilisé Stuxnet pour exploiter de multiples vulnérabilités Windows de type "zero-day", rechercher sur les PC infectés une connexion au logiciel qui contrôlait l'équipement électromécanique, et envoyer des instructions destinées à endommager l'équipement. Alors que de nombreux types de logiciels malveillants infectent un ordinateur via l'internet, une autre caractéristique unique de l'attaque Stuxnet en Iran est que les logiciels malveillants ont été introduits dans les PC via des clés USB infectées.  

Stuxnet est-il un virus ?

De nombreuses personnes appellent ce logiciel malveillant "virus Stuxnet" alors qu'il ne s'agit pas d'un virus informatique, mais d'un ver informatique. Bien que les virus et les vers soient tous deux des types de logiciels malveillants qui peuvent corrompre des fichiers, un ver informatique peut être beaucoup plus sophistiqué. Tout d'abord, contrairement à un virus, un ver n'a pas besoin d'une interaction humaine pour s'activer. Au lieu de cela, il se propage de lui-même, parfois de manière prolifique après avoir pénétré dans un système. Outre la suppression de données, un ver informatique peut surcharger les réseaux, consommer de la bande passante, ouvrir une porte dérobée, réduire l'espace du disque dur et déposer d'autres logiciels malveillants dangereux tels que des rootkits, des logiciels espions et des ransomwares.

Qu'était l'attaque de Stuxnet en Iran ?

Selon le livre "Countdown to Zero Day: Stuxnet and the Launch of the World's First Digital Weapon", en 2010, des inspecteurs de l'Agence de l'énergie atomique en visite dans le pays ont été surpris de voir de nombreuses centrifugeuses iraniennes tomber en panne. Ni les Iraniens ni les inspecteurs n'ont pu comprendre pourquoi les équipements fabriqués par Siemens, conçus pour enrichir l'uranium alimentant les réacteurs nucléaires, présentaient des dysfonctionnements aussi catastrophiques.

Il était difficile d'imaginer qu'un logiciel malveillant en était la cause. Après tout, les installations nucléaires de l'Iran étaient séparées du réseau — ce qui signifie qu'elles n'étaient pas connectées à un réseau ou à Internet. Pour qu'une attaque par malware se produise dans l'usine d'enrichissement d'uranium air-gappée, quelqu'un devait avoir consciemment ou inconsciemment introduit le malware physiquement, peut-être via une clé USB infectée.

Lorsqu'une équipe de sécurité du Bélarus est venue enquêter sur certains ordinateurs défectueux en Iran, elle a trouvé un logiciel malveillant hautement complexe. Ce malware agressif devait par la suite se propager davantage, les chercheurs le surnommant Stuxnet, la « première arme numérique mondiale ».

Pourquoi Stuxnet était-il si dangereux ?

Les experts considèrent Stuxnet comme un code d'une complexité incroyable et la première cyberarme mondiale. Il aurait physiquement dégradé près de 1000 centrifugeuses iraniennes en infectant les contrôleurs logiques programmables (PLC) qui contrôlaient les centrifugeuses et les sabotant.  

Les centrifugeuses tournent à des vitesses extraordinairement rapides, créant une force plusieurs fois supérieure à la gravité pour séparer les éléments dans le gaz d'uranium. Le ver a manipulé la vitesse de fonctionnement des centrifugeuses, créant suffisamment de stress pour les endommager. Stuxnet a pris son temps, attendant des semaines pour ralentir les centrifugeuses après les avoir accélérées temporairement, rendant ses activités difficiles à détecter.

Stuxnet était également difficile à détecter car c'était un malware complètement nouveau, une menace émergente sans signature connue. En outre, Stuxnet exploitait plusieurs vulnérabilités dites zero-day, qui sont des failles de sécurité logicielles non corrigées.

Stuxnet a également envoyé de faux signaux de capteurs de contrôle des processus industriels pour dissimuler sa présence et son activité malveillante. En outre, Stuxnet était également capable de déposer un rootkit. Les rootkits peuvent permettre à un acteur de la menace de contrôler le cœur d'un système. Avec un rootkit Stuxnet était plus à même de mener des actions furtives.

Meilleures pratiques de cybersécurité pour les réseaux industriels

Des mesures de cybersécurité solides sont cruciales pour toute entreprise. Les rapports d'attaques informatiques font régulièrement les gros titres, et ce n'est pas toujours un logiciel malveillant attaquant un logiciel utile ; comme dans le cas de Stuxnet, le malware peut être utilisé pour attaquer finalement des appareils électromécaniques, du matériel et des infrastructures.

L'un des incidents de cybersécurité les plus marquants de l'année 2021 a été une attaque par ransomware qui a entraîné la fermeture du plus grand oléoduc des États-Unis pendant près d'une semaine. Il a été déterminé par la suite qu'un seul mot de passe compromis avait permis l'attaque. Parmi les autres cibles d'attaques par ransomware au cours de l'année figuraient le plus grand conditionneur de viande du monde et le plus grand service de ferry du Massachusetts.

Qu'il s'agisse d'un ransomware, d'un ver informatique, d'un phishing, d'un business email compromise (BEC) ou d'une autre menace qui vous empêche de dormir, vous pouvez prendre des mesures pour protéger votre entreprise. Dans sa mission d'apporter la cyberprotection à chacun, Malwarebytes offre des solutions de sécurité aux entreprises de toutes tailles. Votre entreprise peut également adopter les meilleures pratiques en matière de sécurité, telles que :

  • Appliquez une politique stricte d'apportez votre propre appareil (BYOD) qui empêche les employés et les sous-traitants d'introduire d'éventuelles menaces.
  • Séparez du réseau tous les ordinateurs qui pourraient affecter la sécurité nationale.
  • Séparez du réseau tous les systèmes hérités qui servent d'interfaces humaines.
  • Adopter un régime de mots de passe sophistiqué avec une authentification à deux facteurs qui entrave les attaques par force brute et empêche les mots de passe volés de devenir des vecteurs de menace.
  • Sécurisez les ordinateurs et les réseaux avec les derniers correctifs.
  • Utiliser des logiciels de cybersécurité alimentés par l'IA et dotés de capacités d'apprentissage automatique.
  • Pratiquez une sauvegarde et une restauration faciles à tous les niveaux possibles pour minimiser les perturbations, en particulier pour les systèmes critiques.
  • Surveillez constamment les processeurs et serveurs pour détecter les anomalies.
  • Essayez une zone démilitarisée (DMZ) pour les réseaux industriels.
  • Consultez liste blanche des applications pour améliorer la sécurité des logiciels.

Articles associés de Malwarebytes Labs

Voulez-vous en savoir plus sur la cybersécurité et l'infrastructure ? Consultez les articles suivants de Malwarebytes Labs :