Selon un expert allemand, l’impact du virus Stuxnet sur la filière nucléaire iranienne serait comparable à celui d’une attaque aérienne. Ce que semble confirmer l’Agence internationale de l’énergie atomique
«Pour nous, il change tout.» Aile nord du Capitole, Washington, il y a huit jours. Face au Sénat, Sean McGurk n’y est pas allé par quatre chemins. Expert en cybersécurité, ce haut responsable de la Sécurité intérieure décrivait à la Chambre haute du Congrès un véritable changement d’ère. Rien de moins. «Les implications de Stuxnet pour le monde réel dépassent tout ce que nous avions vu comme menace par le passé.» Stuxnet? Un ver informatique dernier cri qui serait le premier à provoquer des destructions physiques. Le logiciel malveillant affecterait des infrastructures ultrasensibles. Celles de l’industrie nucléaire iranienne notamment.
Vingt-huit ans de Navy dans les hautes sphères du nucléaire américain: Sean McGurk, qui a commandé des sous-marins d’attaque, en a vu d’autres. Il a pourtant relayé les craintes d’une nouvelle menace qui, en visant «une large gamme de systèmes de contrôle dans des secteurs essentiels d’infrastructures, […] pourrait potentiellement entraîner des dégâts physiques, des morts, et des effets en cascade». Dit autrement: hackers et autres cyberbidouilleurs du dimanche pouvaient jusque-là faire de mauvaises farces en ligne. Aujourd’hui, un fléau virtuel aussi évolué que Stuxnet peut affaiblir un pays en ciblant ses infrastructures.
Stuxnet change en effet la donne. Ce malware (mot-valise anglais pour malicious software – logiciel malveillant) s’en prend à un programme informatique Siemens de contrôle des automates industriels. Un logiciel très utilisé dans le secteur de l’eau, des plates-formes pétrolières et des centrales électriques, entre autres. Développé depuis plus d’un an, Stuxnet a été découvert en juillet 2010, par une entreprise biélorusse de sécurité.
Natanz, province d’Ispahan, été 2010. Attaquées par Stuxnet, les centrifugeuses affectées à la production d’uranium enrichi UF6 en Iran ne tournent plus rond. L’Agence internationale de l’énergie atomique (AIEA) note dans la période qui suit une baisse brutale du nombre de centrifugeuses en activité sur le site industriel. Rebelote ce mois-ci: les activités d’enrichissement menées par Téhéran ont connu un arrêt temporaire d’au moins une journée en novembre, a signalé mardi l’AIEA.
Des constats qui ne découragent en tout cas en rien l’optimisme iranien. Téhéran vient de réaffirmer que l’Iran produira du combustible nucléaire dans moins d’un an. Stuxnet ou pas. Les autorités démentent tout arrêt de l’enrichissement. Le ver «s’est heurté à un mur, et nos ennemis n’ont pas pu parvenir à leur objectif», a déclaré en substance Ali Akbar Salehi, le chef du programme nucléaire iranien.
Ce changement significatif dans le paysage des cyberattaques ciblées, Ralph Langner est loin de l’ignorer. Depuis Hambourg, ce chercheur allemand vient d’aller plus loin encore dans le décryptage de Stuxnet. Contacté entre deux plongées dans le code de chiffrement du programme, l’homme, qui remonte régulièrement à la surface sur son blog pour rendre publique l’avancée de ses travaux, est catégorique:
«On assiste en Iran à la première véritable cyberguerre de l’histoire. Le terme a déjà été employé, mais il s’agit bien cette fois des premières opérations de guerre, au sens propre du terme.
Les attaques sont sur le point de détruire des cibles militaires. Et le logiciel est utilisé comme une arme ciblée sur l’Iran, avec le même pouvoir de destruction qu’une bombe de pénétration anti-bunker ou qu’un missile de croisière. Le but recherché est la destruction physique.»
En dépit de réserves sur l’utilisation du terme «cyberguerre», Axel Dyèvre, directeur Europe de CEIS à Bruxelles, une société de conseil en stratégie et gestion des risques, n’incite pas, lui non plus, à l’euphorie: «Si les hypothèses sont confirmées, on assiste à la militarisation du cyberespace. C’est la première fois qu’un ver se révèle capable de passer d’un réseau standard à un réseau de contrôle d’infrastructures, jusqu’à des retombées physiques. Si on peut perturber des centrifugeuses en Iran, pourquoi ne pourrait-on pas par exemple contrôler à distance les vannes d’un barrage?»
Avec une attaque ciblée sur l’Iran, on trouve pourtant la trace de Stuxnet dans d’autres pays. «Facile à expliquer, au regard du mécanisme de distribution de Stuxnet – des clés USB et des dossiers partagés», selon Ralph Langner, l’expert allemand. «Le monde actuel est encore plus interconnecté que personne ne l’a jamais imaginé, y compris les auteurs de l’attaque.
La société qui a construit la centrale de Bouchehr a des clients dans le monde entier, en Inde, au Pakistan, en Indonésie, etc. Les ingénieurs transportent le ver dans leurs ordinateurs, ce qui infecte tous leurs clients. Et ces clients ont eux-mêmes des sous-traitants en charge de la maintenance de leurs installations, qui sont à leur tour infectés. Etc.»
Au moment où ils ont constaté des vols d’entraînement de Tsahal sur des distances comparables à celle qui relie Tel-Aviv à Natanz, les Etats-Unis ont successivement refusé aux Israéliens l’acquisition par l’Etat hébreu de ravitailleurs en vol de ses bombardiers, ainsi que le survol de l’Irak.
Cheval de Troie contre le nucléaire honni, Stuxnet, le ver qui attaque la Perse, porte-t-il la signature de l’ennemi déclaré de la République islamique? Aucun doute pour Ralph Langner: «Israël est l’Etat le plus concerné par la menace iranienne et son programme nucléaire. Il est de notoriété publique que Téhéran souhaite rayer l’Etat hébreu de la carte. Mais nous avons cependant de bonnes raisons de croire qu’Israël n’a pas créé Stuxnet seul. Tout porte à croire que le ver existe grâce à l’effort concerté de plusieurs Etats.»
Nombre d’experts s’accordent en tout cas à reconnaître des moyens conséquents: «Si les attaques sont dirigées sur des sites sensibles, il faut d’abord l’accès à des informations précises sur les cibles, explique Daniel Ventre, chercheur au CNRS et auteur de Cyberguerre et guerre de l’information. Connaître les failles du système attaqué, par exemple, nécessite d’importants moyens.»
D’après les calculs de Ralph Langner, il faut plus d’une cinquantaine de personnes, réparties en différentes unités, et le travail de plusieurs années pour créer un ver informatique comme Stuxnet. «Bien qu’il soit aujourd’hui connu, Stuxnet reste une menace car la technologie qui le constitue est facilement recopiable.» Et, pour le chercheur, les puissances occidentales ne sont en rien préparées pour faire face à des cyberattaques de cette ampleur.
Envoyé par elton
