Stuxnet, attaque mondiale non létale ou montée en puissance d’un conflit économique ?

 Aujourd’hui c’est Stuxnet qui fait son entrée officielle dans le monde de la cyber-guerre. En effet, le 17 juin 2010 la société de sécurité informatique biélorusse, VirusBlokAda, signale la présence d’un virus informatique et le nomme Stuxnet. Cette société en collaboration avec la société russe Kaspersky et l’américaine Symantec parviennent à découvrir que le logiciel malveillant s’attaque au programme SCADA (Supervisory Conrtol And Data Acquisition) de la société allemande Siemens. Les programmes SCADA servent dans de nombreuses industries telles que les plates-formes pétrolières, les centrales électriques, les centrales nucléaires, les barrages hydrauliques,…
Les caractéristiques de ce virus sont pour le moins innovantes: en effet par le passé, les attaques prenaient majoritairement pour terrain internet, pouvant ainsi bénéficier d’une propagation étendue et/ou rendre la cible à « portée de tir » si l’on peut-dire. De plus dans bien des cas l’attaque était composée de multiples agressions mettant ainsi la cible sous un « tir de saturation » pour continuer sur la terminologie militaire. Enfin en règle général une cyber-attaque, lorsqu’elle exploitait une faille de sécurité inconnue jusqu’alors (attaque « zéro-day ») n’en n’exploitait qu’une seule compte tenu du temps et du prix que cela demandait en matière de recherche.
Stuxnet, lui, est un virus bien plus évolué que ses prédécesseurs selon Alexander Gostev, Chief Security Expert de Kaspersky Lab. En effet, il développe en même temps quatre failles de sécurité « zéro-day » sur Windows microsoft. D'autre part, il n’a pu être lancé que par la connexion d’une clé USB sur un ordinateur cible pour se répandre ensuite via le réseau. Enfin, il possède des certificats de conformité réels des sociétés JMicron et Realtek.
Après trois mois d’activité, la contamination virale semble avoir ciblée l’Iran, pays dans lequel quelques 30 000 ordinateurs industriels seraient touchés1. Cependant ce pays n’est pas le seul : l’Inde, le Pakistan, l’Indonésie, la Chine font partie des plus atteints2
On voit donc apparaître sur la scène mondiale une cyber-attaque foudroyante par sa rapidité de dispersion, innovante par sa conception et ciblée dans son attaque, rapprochant un peu plus la cyber-guerre de l’attaque chirurgicale que le monde découvrait durant la première guerre du golfe en Irak.

Un contexte géopolitique
Depuis 2005 et l’annonce par Téhéran de la reprise de ses activités de conversion d’uranium, les relations entre l’Iran et les pays occidentaux ne cessent de se dégrader. Cependant dans l’application de l’embargo sur l’Iran, chaque pays concerné possède sa propre stratégie en matière de politique énergétique et de défense. Il est donc très difficile d’obtenir une voie unanime face au nucléaire Iranien, ce qui ne facilite pas les choses dans les contraintes que certains veulent imposer à l’Iran.
Dans ce contexte, il est tout à fait logique de voir un traitement essentiellement géopolitique du sujet dans les journaux. De l’AFP aux journaux de presse générale en passant par la presse spécialisée en informatique, tous s’accordent pour voir derrière cette attaque les Etats-Unis, Israël3 (d’autant qu’Israël n’est pas en retard dans le domaine4) ou la Russie (qui par sa participation à la construction de la centrale nucléaire Iranienne de Bushehr attire beaucoup les regards). Par ailleurs lorsque l’on sait que les Etats-Unis ont mis en place en février un exercice national de simulation d’une cyber-attaque5 et ont accueilli le premier sommet mondial consacré à la cyber-sécurité6 le 5 mai, que la France a elle aussi organisé un sommet avec les 21 Etats membres de l’OTAN du 14 au 16 juin 20107 puis un exercice national PIRANET8 du 23 au 24 juin 2010, et qu’enfin un exercice de simulation cyber storm III regroupant 13 pays et 63 sociétés a eu lieu du 27 au 30 septembre 20109, on comprend que l’arrivée de l’attaque Stuxnet en juin 2010 est on ne peut plus d’actualité !
Mais alors pourquoi la place de cette cyber-attaque dans la presse n’est-elle pas plus importante ? Pourquoi la découverte de ce virus faite en juin, n'est-elle révélée par les médias que fin septembre alors que le sujet est une actualité brulante pour autant de pays et de sociétés ? Que dire également de l’absence de réponse de Realtek suite à l’alerte par VirusBlokAda sur la présence de vrais codes dans stuxnet10 ? Que penser aussi de l’hypothèse d’une attaque Israélienne signée par le nom Myrus11  d’un fichier de Stuxnet : la revendication est-elle une spécificité des services spéciaux Israélien ?
Est-il possible de faire une lecture différente qui ne s’opposerait pas forcément à la lecture géopolitique de ce conflit? Les réponses données par une large majorité ne sont-elles pas trop évidentes?

Hypothèses
Les cibles que vise ce virus sont les sites industriels et notamment les centrales nucléaires dont, a priori, la centrale de Bushehr en Iran. Mais pour y parvenir Stuxnet s’attaque au système SCADA de Siemens, société allemande. Ce type de système fait partie de ce que l’on appelle les API (Automates Programmables Industriels) qui mettent en œuvre une gestion automatisée de nombreux secteurs industriels.
En 2006, un rapport de la société Jautomatise1 évalue le potentiel de croissance de ce marché à  +6% par an jusqu’en 2010, ce qui laisse imaginer le niveau d’hyper concurrence du secteur. De plus il met en relief que ce potentiel de croissance est pour plus de la moitié situé en Asie. Or au regard du rapport de la société américaine d’anti-virus Eset2 , on se rend compte que la cible géographique de Stuxnet est justement l’Asie (l’attaque représente 52,2% en Iran, 17,4% en Indonésie, 11,3% en Inde, 3,6% au Pakistan, 2,6% en Uzbekistan, 1,3% en Russie,… il est curieux de voir au passage que ce rapport ne fait pas état de la Chine, qui déclare pourtant actuellement plusieurs millions d’ordinateurs touchés3 ). La question, dans ce contexte, consiste à se demander si un concurrent américain, Israélien ou autre de Siemens s’appuierait sur un conflit géopolitique pour affaiblir Siemens en Asie afin de dominer ou pénétrer le marché.
Dans cette optique, certaines sociétés comme AspenTech, américaine, mériteraient une étude approfondie. Outre les 1500 sociétés clientes dont BP, ChevronTexaco, DuPont, ExxonMobil, Fluor, GlaxoSmithKline, Sanofi-Aventis, Shell et Total, AspenTech est-elle réellement implantée en Asie, est-elle implantée dans le marché des centrales nucléaires… ?
Le leader mondial dans les technologies de l'énergie et de l’automatisation, ABB, mériterait également une attention particulière afin de détecter ses faiblesses et la stratégie qui pourrait en découler. L’anonymat dans la cyber-guerre laisse le champ libre à une plus grande violence et amène de nombreuses questions restant généralement sans réponse, tout du moins sans preuve, mais pas sans hypothèses. Sans pour autant mettre de côté le contexte géopolitique entre  les Etats-Unis, Israël, la Russie  et l’Iran, une attaque simultanée sur deux terrains : géopolitique et économique, mit en œuvre par deux acteurs,  une société et un état, ne semble absolument pas surréaliste. L’inquiétude, légitime, au sujet du développement du nucléaire Iranien, n’étant probablement pas la seule motivation des développeurs de stuxnet, il est fort à parier que les acteurs ne soient pas issus uniquement du monde de la défense, de même que l’objectif est sans doute multiple.

Olivier Bousquet