Secu
Symantec débusque une version plus ancienne et dangereuse de Stuxnet
Par La rédaction, publié le 26 février 2013
Les origines de Stuxnet remontaient jusque-là à 2009. Une étude de Symantec fait état de première trace datant de 2007, avec une première apparition éventuelle en 2005. Le ver aurait connu de profonds changements en cours de vie.
C’est une petite bombe qu’a lâché aujourd’hui Francis deSouza, responsable des produits et services, pendant la Conférence RSA 2013. Au fil d’une enquête approfondie, Symantec a réalisé un véritable travail d’archéologie de la sécurité informatique en retrouvant des traces plus anciennes de Stuxnet, le ver dont le New York Times a attribué la paternité aux Etats-Unis et à Israël. C’est ni plus ni moins que de « chaînon manquant » que parle Symantec.
Jusqu’à présent, les traces les plus anciennes de Stuxnet remontaient à 2009. Or Symantec, qui s’était déjà illustré lors de l’analyse de Flame, a découvert une version 0.5 de ce ver qui aurait opéré entre 2007 et 2009.
Selon un communiqué de la société spécialisée en sécurité informatique, cette version serait « dotée d’un mécanisme d’attaque radicalement différent de celui de ses variantes ultérieures bien connues ».
Des différences dans l’approche
Pour schématiser les différences entre cette « ancienne version », qui « pourrait remonter à 2005, voire plus tôt » encore, et les versions qui ont été découvertes précédemment, tiennent essentiellement à l’approche adoptée pour l’attaque. La version dévoilée par Symantec était « conçue dans le but de fermer les valves qui alimentent en gaz hexafluorure d’uranium les centrifugeuses utilisées pour l’enrichissement de l’uranium ». Elle visait à endommager « sérieusement les centrifugeuses concernées et le système d’enrichissement de l’uranium dans son ensemble ».
Les versions suivantes, qui ont été débusquées par Kaspersky, notamment, fonctionnaient seulement de manière à « interrompre l’enrichissement de l’uranium en accélérant la vitesse des centrifugeuses puis en la ralentissant ».
Bien qu’ancienne, cette version 0.5 serait encore présente dans le monde, sous forme d’infection dormante c’est en tout cas ce que pointe, entre autres, cette étude de Symantec.
Flame aux sources
Symantec indique que si les dernières versions du ver ont apparemment atteint leur but, rien n’est moins sûr pour cette version plus ancienne. La société américaine confirme par ailleurs que cette première mouture de Stuxnet était « très largement inspirée du programme malveillant Flame », qui a longtemps a été considérée comme la cyberarme la plus sophistiquée. Les versions suivantes s’en sont ensuite éloignées.
Sources :
L’étude de Symantec
Conférence RSA de Francis deSouza
A lire aussi :
Flame, la plus sophistiquée des cyberarmes – 29/05/2012
Flame : les premiers secrets de la cyberarme révélés – 07/06/2012
Stuxnet : un ver créé par les Etats-Unis et Israël – 01/06/2012
Cyberguerre : Kaspersky établit le lien entre Stuxnet et Flame – 11/06/2012
L’enquête du FBI sur les fuites autour de Stuxnet menace libertés et transparence – 30/01/2013