DOSSIER VIRUS

Le virus STUXNET

De juillet 2010 à octobre 2010, Le virus STUXNET à causé énormément de soucis aux
industries de plusieurs pays…
Historique
Il a été signalé pour la première fois par la société de sécurité VirusBlokAda (Biélorussie) mi-
juin 2010.
Ces antécédents ont été retracés jusqu'à juin 2009.

15 juillet 2010, Le CERT publie l’existence d’une vulnérabilité exploitée par STUXNET.

16 juillet 2010, Microsoft publie les informations sur les failles Windows exploitées par le
ver STUXNET.

8 octobre 2010, un outil de suppression du ver informatique Stuxnet est mis à disposition par
BitDefender
Données sur STUXNET
Il s'attaque aux systèmes Microsoft Windows à l'aide de quatre attaques « zero day » (y
compris la vulnérabilité CPLINK et la vulnérabilité exploitée par le ver Conficker) et vise les
systèmes utilisant les logiciels SCADA WinCC/PCS 7 de Siemens.

Il est inoculé par des clés USB infectées et contamine ensuite d'autres ordinateurs WinCC du
réseau à l'aide d'autres exploits.

La complexité du ver est très inhabituelle pour un malware. L'attaque nécessite des
connaissances en procédés industriels, en failles de Windows.

Le nombre d'exploits Windows « zero day » utilisés est également inhabituel tant ces exploits
non découverts sont chers et ne sont pas normalement gaspillés par les pirates en en utilisant
quatre dans le même ver.

Stuxnet a une taille d'un demi méga octet et est écrit dans différents langages de
programmation (y compris C et C++) ce qui est également peu courant pour un malware.

Des chercheurs de Symantec ont indiqué que Stuxnet avait une date « de destruction » fixée
au 24 juin 2012

Hypothèse : Origine iranienne afin de perturber le programme nucléaire Iranien.

Le ver Win32/Stuxnet s’en prend à une faille dans Windows Shell
Publié le mardi 20 juillet 2010par Emilien Ercolani
Une faille dans Windows Shell, qui affecte de nombreuses versions de Windows, a été signalée par
Microsoft dans un bulletin de sécurité. Celle-ci peut déjà être exploitée via le ver Win32/Stuxnet,
référencé sous l’intitulé LNK/Autostart A, lequel vise particulièrement les systèmes de surveillance
industrielle.

Le 16 juillet, Microsoft a publié un bulletin de sécurité concernant une faille critique qui sévit dans Windows Shell.
Celle-ci est susceptible d’être exploitée sur Windows XP (SP2, SP3), Windows Server 2003 et 2008 et 2008 R2,
Windows Vista et Windows 7. Soulignons que Windows XP SP2 ne sera pas patché, étant donné que Microsoft a
mis fin au support le 13 juillet.

Plusieurs éditeurs de sécurité ont mis en garde devant ce problème de grande envergure. Pour Eset, « Le ver est
utilisé pour effectuer des attaques ciblées de façon à pénétrer les systèmes SCADA, notamment aux États-Unis et
en Iran. SCADA, Supervisory Control And Data Acquisition (télésurveillance et acquisition de données) désigne
des systèmes de surveillance utilisés dans de nombreuses industries, par exemple dans l'ingénierie électrique ».

Toujours selon l’éditeur, le ver a été actif pendant plusieurs jours, en particulier aux États-Unis et en Iran : près
de 58% des infections sont signalées aux États-Unis, 30% en Iran et un peu plus de 4 % en Russie.

Les particuliers seraient donc vulnérables, mais moins touchés, puisque « ceci est un exemple de malware assisté
par ordinateur pour l'espionnage industriel ». Une dizaine de milliers de machines seraient déjà infectées par le
ver Stuxnet. Le danger réside dans la vulnérabilité de l’OS Windows liée aux processus lancés par des fichiers
.LNK.

Le ver peut donc tirer parti des Autorun et Autoplay de Windows, et s’exécuter automatiquement. Il peut aussi se
lancer depuis une clé USB.
Une nouvelle faille Windows ciblée par des virus
Publié le vendredi 23 juillet 2010par Stéphane Larcher
L’éditeur Eset précise que de nouveaux malwares ont été découverts et que la tendance pourrait
empirer dans les jours à venir.

Une faille découverte mardi au sein de Windows et pour le moment non corrigée a déjà stimulé l’imagination des
créateurs de virus. L’éditeur slovaque Eset vient en effet de révéler que deux nouveaux malwares viennent de
faire leur apparition afin d’exploiter la faille liée à la manière dont Windows gère les fichier .link, lesquels sont
utilisés pour les raccourcis.

La vulnérabilité a en premier lieu été exploitée par le ver Stuxnet, découvert sur des ordinateurs iraniens le mois
dernier. Particulièrement sophistiqué, le ver Stuxnet vise en priorité le logiciel de gestion des systèmes industriels
Siemens et s’attache à voler les fichiers projets de ces systèmes SCADA. Le constructeur allemand a publié une
mise à jour pour ses clients hier jeudi.

En revanche, Microsoft n’a pas encore corrigé la faille qui permet au ver de se répandre. Pierre-Marc Bureau,
chercheur pour Eset, a précisé que le nouveau ver était moins sophistiqué que Stuxnet. Toutefois, il permettrait
de voler des mots de passe et autres données au travers de l’installation d’un « keystroke logger » sur la machine
contaminée. Selon M. Bureau, le nouveau ver viserait pour le moment des ordinateurs situés aux Etats-Unis mais
l’adresse IP associée renvoie en Chine. Pour le moment, le ver Stuxnet demeure faible en volume, moins de 1%
du trafic de malwares observé par Eset sur l’Internet. Toutefois, un autre responsable de Eset précise qu’il ne
serait pas surpris de voir des centaines voire des milliers de variantes de Stuxnet dans les semaines à venir.

Bien que la nouvelle variante ne soit pas extraordinaire, la rapidité de création de nouveaux malawares pourrait
poser problème dans la mesure où Microsoft n’a pas prévu – pour le moment – de délivrer de correctif avant son
traditionnel « Patch Tuesday », lequel devrait intervenir le 10 août, soit dans près de 3 semaines. L’éditeur a
toutefois publié une page offrant des conseils pour se protéger d’une attaque accessible à cette adresse.
W32.Stuxnet infecte plus de 14 000 IP en seulement 72 heures
Publié le 26/07/2010 par Beugré Jean-Augustin

Suite à la détection de la menace W32.Stuxnet la semaine dernière, Symantec continue à

l’analyser afin d’identifier la façon dont elle exploite les vulnérabilités, sa cible, ainsi que son
objectif. L’équipe Security Response chez Symantec a découvert que W32.Stuxnet a déjà
infesté plus de 14 000 adresses IP en seulement 72 heures, dont la plupart en Iran, pour
accéder à des informations sensibles et notamment aux systèmes SCADA, qui pilotent les
technologies industrielles dans des domaines tels que l’eau, l’électricité, le pétrole ou encore
les substances chimiques. Elle est particulièrement dangereuse puisqu’elle peut dissimuler sa
présence grâce à un système rootkit ainsi qu’en exploitant une vulnérabilité zero-day qui
concerne toutes les versions Windows.

Elle cible des logiciels utilisés pour contrôler des processus industriels SCADA, et démontre
une profonde connaissance de ces outils. Cette menace réagit à deux niveaux :

De façon automatique, comme la plupart des virus, mais également commandé à distance.

Le virus a été détecté sur un serveur en Malaisie, mais la localisation d’une machine ne donne
aucune information sur l’origine de l’attaque ni de l’attaquant. Symantec a pu rapidement
prendre le contrôle en déroutant et bloquant le trafic vers ce serveur afin d’empêcher de
contrôler les machines infectées et récupérer les informations.

Comme souligne Laurent Heslault, Directeur des Technologies de Sécurité chez Symantec,
sur son blog:

• - Symantec ne connait pas la/les personnes derrière cette attaque..

• - Si l’architecture de l’attaque se dessine (technologies, cibles, géographie…), la
motivation reste très floue.
• - Il est clair qu’ils sont loin d’être des amateurs.

Pour plus d’informations concernant sur W32.Temphid :

http://www.symantec.com/connect/blogs/w32temphid-commonly-asked-questions
27 septembre 2010 - Stuxnet n'est pas clair
Cyberguerre contre l'Iran ?

Étrange histoire que celle de Stuxnet, un logiciel informatique malveillant (un "cheval de
Troie") qui agite beaucoup le monde de la cybersécurité. Repéré depuis juillet, ce virus
pourrait bien présenter la particularité d'être le premier vrai outil de cybersabotage (une
arme de cyberguerre ou de cyberterrorisme, si l'on préfère) capable de s'en prendre
sérieusement à des infrastructures vitales.

Résumons : le virus se propage par des clefs USB et profite d'une faille de Windows, il
est nocif et sophistiqué, il aurait été repéré en Inde et en Indonésie, il s'en prend à des
systèmes dits Scada (Supervisory Control and Data Acquisition)... Jusque là rien de très
passionnant pour le non spécialiste. Jusqu'à ce qu'il tique en lisant deux informations :
Stuxnet s'en prend à des systèmes qui programment des automates de chez Siemens et
60 % des vers repérés l'ont été sur le territoire iranien selon Symantec. De là, certain
ont commencé à déduire que Stuxnet, qui pourrait, par exemple mettre en panne une
centrifugeuse, serait une arme secrète destinée non pas à prélever des informations
secrètes, mais à paralyser la centrale iranienne d'enrichissement de l'uranium à Bushehr
ou Natanz. Même si Siemens (qui avait installé certains des systèmes iraniens) le
dément, l'hypothèse d'une attaque informatique (gouvernementale ?) contre la
nucléarisation de l'Iran commence à avoir beaucoup d'adeptes.

Stuxnet est-il spécifiquement dessiné pour attaquer la centrale iranienne ? Si oui en a-t-il
la capacité ? Les Iraniens qui doivent quand même consulter les sites de sécurité sur
Internet de temps en temps ne sont-ils pas en mesure d'arrêter cette attaque ? Ce sont
trois questions auxquelles nous ne pouvons évidemment pas répondre.
Au stade actuel, personne ne sait ni s'il s'agit d'une attaque israélienne, ni si sa cible
principale est le système iranien d'enrichissement de l'uranium, ni si l'attaque peut (ou
pouvait avant sa découverte) produire à elle seule (nous insistons sur cette notion "à elle
seule", car combinée à une offensive classique, ce serait tout autre chose) des
dommages comparables au bombardement de la centrale atomique irakienne d'Osirak il y
a bien des années.

En revanche l'affaire Stuxnet vient de réveiller un serpent de mer : le thème de l'attaque

contre des infrastructures vitales. En clair : soit des services gouvernementaux, soit des
pirates informatiques obéissant à des motivations pécunaires (mercenariat, chantage) ou
idéologiques, soit les seconds travaillant au service des premiers, seraient en mesure de
saboter des systèmes de contrôle importants : énergie, industrie, systèmes de
circulation, de distribution, d'alerte, aéroports, centrales énergétiques, réseaux de
communication, etc. Produisant à volonté un dommage difficile à réparer, créant
éventuellement un tel désordre dans un pays que cela produirait des perte économiques
importantes, des désordres, voire des morts, difficiles à détecter, et en tout cas à
attribuer officiellement au vrai coupable, ces attaques sont le cauchemar de la
cybersécurité. Elles marqueraient le stade où l'on passerait du vol d'information ou de la
dégradation de systèmes informatiques faisant perdre du temps de réparation et de
l'argent, à de véritables actes de guerre, comparables à l'usage d'armes létales sur un
territoire étranger. Cette hypothèse, déjà évoquée à propos de l'Estonie en 2007. Dans
tous les cas, (paradoxalement, car les services américains sont plus suspects que
victimes dans cette affaire), cela nourrit le discours alarmiste aux USA, obsédés par la
perspective d'un Cybergeddon ou d'un Pearl Harbour informatique. Au moment où le
général responsable du "Cyber Command" américain n'envisage rien moins que la
création d'un second Internet enfin sécurisé pour les agences gouvernementales US et
les infrastructures industrielles stratégiques.
L’Iran reconnaît avoir été touché par le virus Stuxnet
Publié le lundi 27 septembre 2010
par Emilien Ercolani
Spécialisé dans l’infection de systèmes informatiques industriels, le virus Stuxnet a bel et bien
infecté 30 000 ordinateurs en Iran, « sans aucun dommages sérieux ». En revanche, le pays se dit
victime d’une attaque lancée par l’Occident.

Les relations déjà tendues entre l’Iran et le monde occidental, ne devraient pas s’arranger avec cette histoire. Le
virus Stuxnet a infecté environ 30 000 ordinateurs, sans causer de dommages importants, a précisé le ministre des
Télécommunications et des technologies de l'information, Reza Taqipour.

En revanche, cette affaire pourrait enflammer les relations politiques avec d’autres pays. « Un gouvernement
étranger est probablement à l'origine du virus », assure quant à lui Mahmoud Liayi, responsable des technologies
de l'information au ministère de l'Industrie.

Selon Symantec, il aurait fallu environ 6 mois, et des personnes bien informées sur leurs cibles, pour concevoir le
virus pour des fins précises. Car il s’attaque uniquement à un programme de Siemens, utilisé dans les
infrastructures industrielles, à l’image des centrales électriques et nucléaires, des oléoducs ou des plateformes
pétrolières. Le logiciel visé, utilisé pour piloter ces installations, est de type SCADA pour « Supervisory Control and
Data Acquisition ». Très dangereux, son but est la destruction « physique » des installations.Il utilise quatre
vulnérabilités LNK de Microsoft. A ce jour, le groupe en a déjà corrigé deux.

Pas uniquement l’Iran

L’Iran ne serait d’ailleurs pas le seul pays touché par cette attaque informatique : l'Inde, l'Indonésie ou le
Pakistan auraient également été visés.

Un comité de crise a été mis sur pied en Iran, bien que le virus n'ait pas été capable « de pénétrer ou de causer
des dégâts sérieux dans l'appareil gouvernemental ». Un responsable de la centrale nucléaire de Bouchehr qui
doit ouvrir avant la fin de l’année, Mahmoud Jafari, a assuré que le virus ne les a pas touchés. « Tous les
programmes informatiques fonctionnent normalement, et n'ont pas été endommagés par Stuxnet », a-t-il assuré,
ajoutant que le chargement du combustible « se déroule selon le calendrier prévu et ne présente aucun problème
».
L’Iran met fin à l’infection Stuxnet et arrête des espions
Publié le lundi 4 octobre 2010par Johanna Godet
L’Iran veut rassurer quant à la menace informatique qui pèse sur le pays depuis le mois de juin. A
présent, l’ensemble des postes infectés par le ver Stuxnet auraient été nettoyés selon les dires du
gouvernement iranien, et les espions à l’origine de l’attaque auraient été arrêtés.

Après avoir finalement avoué que l’Iran avait été touché par le ver Stuxnet, Mohsen Hatam, vice-ministre de
l'Industrie chargé de la planification a annoncé que le pays aurait mis fin à cette attaque et nettoyé l’ensemble
des postes infectés. Il aurait admis que 30 000 ordinateurs iraniens ont bien été touchés par le ver Stuxnet.

Malgré cette déclaration, le gouvernement continue d’affirmer que les systèmes informatiques des centrales
nucléaires ont été épargnés.

Suite à cette annonce, le ministère du Renseignement iranien a précisé que plusieurs espions présumés, qui
seraient à l’origine du ver, viennent d’être arrêtés. D’après Heydar Moslehi, le ministre du Renseignement, ces
hommes voulaient faire échouer le programme nucléaire iranien. Dans la lignée de la déclaration de Mohsen
Hatam, qui nie toute présence du ver Stuxnet sur les ordinateurs des centrales, Heydar Moslehi a certifié : « les
services de sécurité assurent une surveillance complète d'internet et ne permettront aucune fuite concernant le
programme nucléaire iranien, ni la destruction de ces activités ».

Les services de renseignement n’ont toutefois pas désiré s’exprimer sur le nombre de personnes interpelées ni sur
les conditions de l’arrestation.
Le ver Stuxnet continue les ravages aux Pays-Bas
Publié le mardi 5 octobre 2010par Emilien Ercolani
Plusieurs grandes entreprises hollandaises ont signalé des attaques par le ver Stuxnet. Une centrale
nucléaire est en état d’alerte maximale. D'autre part, un antivirus aurait stoppé la propagation.

« J’ai regardé le réseau et visiblement, nos systèmes en Inde et en Angleterre ont détecté le ver Stuxnet. Mais
nous avons déjà résolu le problème, grâce à notre antivirus qui l’a attrapé », explique Willem Van der Craats,
directeur de la sécurité informatique pour Vanderlande Industries, un constructeur de systèmes de distribution
pour l’industrie.

Vanderlande Industries utilise lui aussi un système de gestion de type SCADA pour « Supervisory Control and
Data Acquisition », conçu par Siemens. C’est le même principe d’attaque qui avait été utilisé dans l’affaire des
ordinateurs infectés en Iran. D’ailleurs, les autorités ont récemment annoncé avoir arrêté plusieurs espions.

De son côté, la centrale nucléaire de Borssele est en état d’alerte maximal. « Nous sommes au courant de la
circulation de ce virus depuis quelques temps. Nous avons rapidement été mis au courant des éventuels
problèmes que l’on pourrait rencontrer. Nous avons déjà pris des précautions informatiques », explique un porte-
parole de la centrale.
Un outil pour supprimer le ver Stuxnet
Publié le lundi 11 octobre 2010par Emilien Ercolani
L’éditeur de solutions de sécurité BitDefender a mis gratuitement à disposition un outil de
suppression du ver Stuxnet

Voici un outil pour enfin se débarrasser du fameux ver Win32.Worm.Stuxnet, qui fait des ravages depuis quelques
semaines. Repéré l’été dernier, le virus en a fait trembler plus d’un et a eu des conséquences considérables.

Fin septembre, l’Iran avait reconnu avoir été touché par le virus. Il avait ensuite annoncé la fin de l’infection et
l’arrestation de plusieurs personnes soupçonnées d’avoir été à l’origine des attaques. Une centrale hollandaise avait
également signalé des attaques du même type. Mais elles avaient été stoppées à temps.

Rappelons aussi que le ver est utilisé pour effectuer des attaques ciblées de façon à pénétrer les systèmes SCADA
(Supervisory Control And Data Acquisition) Ceci désigne des systèmes de surveillance utilisés dans de
nombreuses industries, par exemple dans l'ingénierie électrique.

L’éditeur de solutions de sécurité BitDefender a mis gratuitement à disposition un outil de suppression de

Stuxnet. « Cet outil permet de supprimer toutes les variantes connues de ce malware, ainsi que les drivers rootkit
qui sont utilisés pour dissimuler des composants critiques du ver », précise l’éditeur. « Bien qu’il infecte tous les
systèmes Windows sans distinction, il cible en priorité les systèmes de supervision de contrôle et d’acquisition de
données (SCADA) qui utilisent le logiciel Siemens WinCC », souligne-t-il encore.

L’outil de désinfection peut être téléchargé depuis la section Downloads du site www.Malwarecity.fr.
Ars Technica est banni en Iran
Publié le mardi 12 octobre 2010par Johanna Godet
L’Iran restreint encore la liberté d’expression sur son territoire. Après avoir publié un article sur les
attaques du ver Stuxnet dans les centrales iraniennes, le site d’informations Ars Technica a été
banni par les autorités locales.

Quelque temps après avoir traité de l’attaque du ver Stuxnet en Iran le 27 septembre dernier, le site
d’informations américain spécialisé dans les nouvelles technologies Arstechnica a été banni par les autorités
iraniennes.

Les internautes iraniens désirant se rendre sur le site web arstechnica.com se retrouvent face au message
d’erreur suivant : « 403 Forbidden ».

L’équipe d’Ars Technica ne s’en est pas aperçu immédiatement. Elle a été alertée la semaine dernière par un
lecteur local, et après avoir vérifié les statistiques du trafic en provenance de l’Iran, la rédaction a conclut qu’elle
était victime de censure.

Ainsi, après l’Arabie Saoudite qui annonçait il y a deux semaines qu’elle remettait au goût du jour la censure, c’est
au tour de l’Iran d’appliquer le bannissement, même si ce n'est pas le premier acte gouvernemental allant à
l'encontre de la liberté de la presse.
En vidéo : tous les détails sur le fonctionnement du ver Stuxnet
Publié le mercredi 13 octobre 2010par Emilien Ercolani
Depuis que le ver Stuxnet fait des émules dans le monde entier, on ne sait plus exactement quel est
son mode de fonctionnement. Un expert de Kaspersky revient sur cette menace qui ouvre, selon
l’éditeur, les portes d’une nouvelle ère : celle de la cyberguerre.

Depuis plusieurs semaines, de nombreux experts s’interrogent sur le ver Stuxnet après qu'il ait frappé en Iran et
aux Pays-Bas notamment. Dans les coulisses des récentes Assises de la sécurité à Monaco, puis de RSA Security qui
se déroule actuellement à Londres, il n’est pas rare d’entendre dire que cette menace est loin d’être insignifiante.
Mieux, certains osent sous-entendre que ce ver a été conçu par un gouvernement, et non pas par quelques
hackers isolés.

Une menace très complexe

Cette hypothèse conforte donc ce qu’expliquent les experts des éditeurs de sécurité, notamment, Kaspersky
quand il affirme que l’ère de la cyberguerre est désormais ouverte (même si on peut se laisser aller à dire qu’elle
l’était déjà). Dans la vidéo ci-dessous (en anglais uniquement), Roel Schouwenberg, l'expert de Kaspersky Lab,
explique ce qu’est Stuxnet : « Il y a beaucoup d’aspect pour appréhender Stuxnet », explique-t-il, avant de dire
que c’est une menace très complexe, car il « attente à des plateformes qui sont déconnectées d’Internet ».

« Stuxnet exploite 4 failles 0-day. Une menace qui exploite une faille 0-day est déjà très importante. Donc c’est
vraiment énorme (…) Le ver se propage en utilisant des périphériques USB pour attaquer le réseau », continue-t-
il. En revanche, il ne se prononce pas quant à l’origine du virus. Mais « pour créer un virus de ce type, il vous faut
une équipe avec entre 5 et 10 « top level experts » afin de trouver toutes ces vulnérabilités, (…) C’est des mois
et des mois de développement », sans compter le temps des tests. « Ils devaient être surs que cela fonctionnerai
correctement ».

4 failles 0-day
Quel est le but de Stuxnet ? Là aussi, il est difficile de répondre, car même les experts n’ont pas accès à toutes
les spécifications du ver. Toutefois, l’US National R&D a mené des expériences sur des réseaux. Il en résulte des
machines totalement surchargées, mais il est encore difficile de définir le rôle précis.

Et pour finir, comment se défendre contre un virus qui cible 4 failles 0-day ? « Commencer par ne pas autoriser
les mises à jour automatique », par exemple, mais également surveiller constamment l’activité sur le réseau.
Faire du monitoring en somme...
http://www.generation-nt.com/ 15/10/2010 15:31 par Jérôme G.

Stuxnet : faux nettoyeur attribué à Microsoft

Les cybercriminels n'ont décidément par leur pareil pour rebondir sur
l'actualité. Voici venir un faux qui prétend éradiquer la menace Stuxnet. Un
faux qui revendique une conception Microsoft.

Le ver informatique Stuxnet bénéficie d'un large écho médiatique.

Les sociétés de sécurité s'accordent sur un point, ce malware est d'une
conception très élaborée. Il a notamment la possibilité d'exploiter
quatre failles Windows dont trois ont déjà été comblées par Microsoft.
Kaspersky Labs souligne ainsi cette spécificité très rare car
généralement, une seule faille est exploitée par un malware.

C'est l'une des caractéristiques qui font dire à quelques experts que Stuxnet a été élaboré par
un État. D'autant que la véritable cible de Stuxnet n'est pas Windows mais les systèmes de
supervision industrielle et d'acquisition de données ( SCADA ) qui utilisent le logiciel WinCC
de Siemens. Les fantasmes d'espionnage vont ainsi bon train, surtout lorsqu'on apprend que
l'Iran a été majoritairement touché.

Le faux outil de désinfection

Tout cet emballement médiatique est aussi une aubaine pour les cybercriminels et Symantec
vient de détecter la présence d'un malware surfant sur le phénomène Stuxnet. Un cheval de
Troie se fait passer pour un outil de désinfection de Stuxnet. Et pour faire avaler des
couleuvres, les instigateurs de cette arnaque n'y vont pas de main morte. Microsoft Stuxnet
Cleaner est présenté comme un outil soi-disant conçu par la firme de Redmond.

À fuir comme la peste, bien évidemment, d'autant que l'outil ne pourra être déniché que via
des sources non sûres. La véritable action de Microsoft Stuxnet Cleaner semble hautement
destructrice avec la modification de clés de registre Windows pour empêcher l'ouverture de
fichiers ( .exe, .mp3, .jpg …), l'arrêt de certains processus, mais le pire, le risque d'une
suppression de tous les fichiers du disque dur principal.

Stuxnet Cleaner ne semble toutefois pour le moment pas largement diffusé. Symantec
annonce avoir intégré la signature de ce nuisible dans sa base de données. Rappelons que le
cas échéant, BitDefender met gratuitement à disposition un authentique outil de désinfection
pour Stuxnet
Iran : le programme nucléaire temporairement arrêté, le ver
Stuxnet mis en cause
Publié le mercredi 24 novembre 2010par Emilien Ercolani
Dans un rapport de l’AIEA (Agence Internationale de l’Energie Atomique) remis mardi, les
inspecteurs indiquent que le programme nucléaire iranien a été brièvement stoppé, le 16 novembre
dernier. Plusieurs hypothèses sont avancées, dont celle des dégâts causés par le ver Stuxnet.

Le rapport de l’AIEA, remis hier aux 35 Etats membres du conseil des gouverneurs, est formel : le programme
nucléaire iranien a été brièvement stoppé pendant la journée du 16 novembre. Selon les experts, cette coupure
pourrait d’ailleurs ne pas être la première. Mais il est encore impossible de chiffrer le temps d’arrêt des activités
nucléaire, l’Iran n’ayant pas l’obligation de le communiquer.

Les scientifiques iraniens « ont de toute évidence rencontré des problèmes », estime un diplomate occidental à
Vienne à propos du « trou noir » du 16 novembre. Plusieurs hypothèses sont donc avancées, et notamment celle
du ver Stuxnet.

Rappelons que le 27 septembre dernier, l’Iran avait reconnu avoir été touché par le ver, qui avait infecté pas moins
de 30 000 machines. Il était visiblement destiné à semer la panique au sein du réseau informatique iranien. Selon
l’expert allemand Ralph Langner, « Un objectif raisonnable de l’attaque consistait à détruire le rotor de
centrifugeuse par les vibrations, ce qui provoque l’explosion de la centrifugeuse ». Mais le 4 octobre dernier, les
autorités iraniennes avaient affirmé s’être débarrassé du virus, et avoir arrêté des espions.

Cette hypothèse voudrait donc dire que le ver a bel et bien continué de fonctionner jusqu’au 16 novembre
dernier. Pour certains spécialistes, seuls quelques états sont capables de concevoir un tel virus, dont les Etats-
Unis et Israël.

Le vice président iranien, Ali Aakbar Salehi, a encore expliqué qu’il « y a un peu plus d’un an, les Occidentaux ont
essayé d’implanter un virus dans nos installations nucléaires dans le but de perturber nos activités, mais nos
jeunes savants ont stoppé le virus à l’endroit précis où il essayait de s’infiltrer ».
Stuxnet pourrait avoir détruit 1000 centrifugeuses
Publié le lundi 27 décembre 2010par Stéphane Larcher
Selon un organisme d’analyse américain, le ver pourrait avoir provoqué la destruction d’un bon
millier de centrifugeuses dans l’usine d’enrichissement d’uranium située à Natanz, Iran.

Le rapport est l’œuvre de l’Institute for Science and International Security, un Think Tank située à Washington.
Le rapport complet est disponible à cette adresse. Si les auteurs sont d’une grande prudence dans leurs
déclarations, prenant soin de tout écrire au conditionnel, les soupçons sont très forts. En effet, comme l’ont
confirmé les autorités iraniennes, le virus Stuxnet a bien infecté plusieurs installations nucléaires de l’Iran et cette
infection pourrait être à l’origine du déclassement de 1000 centrifugeuses dans le complexe de Natanz chargé de
l’enrichissement de l’uranium.

Selon le rapport, le lien entre les deux événements est en cohérence avec les déclarations de M. Ali Akbar Salehi,
directeur de l’organisation de l’Energie Atomique d’Iran et récemment nommé ministre des Affaires Etrangères de
la République Islamique. « Il y a un an et quelques mois, l’ouest nous a envoyé un virus dans nos sites nucléaires
», déclarait-il récemment. Selon le rapport, il y aurait plus de 10 000 centrifugeuses de type IR-1 installées sur le
site de Natanz, seulement 10% d’entre elles auraient été gravement affectés au point de devoir les changer.

Selon David Albright, président de l’Institute for Science and International Security, la technique utilisée par
Stuxnet a consisté à modifier la vitesse de rotation des centrifugeuses. Celles-ci tourneraient habituellement à
1007 cycles par seconde, alors que Stuxnet aurait modifié cette vitesse à 1064 cycles par seconde, ce qui aurait
eu pour conséquence de briser certains moteurs à cause des vibrations.

Le Jérusalem Post a récemment interviewé Ralph Langer, un consultant allemand qui a été l’un des premiers à
analyser le code de Stuxnet. A nos confrères israéliens, M. Langer déclarait qu’il était possible que le programme
iranien ait pu prendre deux années de retard à cause du ver Stuxnet. Rappelons également que L’agence
Internationale de l’Energie Atomique a récemment indiqué que l’Iran avait suspendu ses travaux dans plusieurs
unités nucléaires, cependant sans préciser si Stuxnet en était la cause.

Interrogé sur les créateurs du virus, M. Langer estimait que, selon lui, au moins deux Etats étaient derrière sa
création.
Stuxnet : créé conjointement par Israël et les Etats-Unis ?

Publié le mardi 18 janvier 2011par Emilien Ercolani

Après avoir commis de nombreux dégâts en Iran, l’origine du ver Stuxnet se précise. C’est en tout
cas ce que croit savoir le New York Times, qui affirme qu’Israël et les Etats-Unis l’ont conjointement
mis au point.

L’information risque de faire des ravages. Effectivement, le New York Times, qui cite des sources confidentielles,
affirme que les Etats-Unis et Israël ont conjointement développé le fameux ver Stuxnet, qui aurait fait beaucoup
de ravages en Iran.

Le ver aurait même été testé dans le complexe israélien de Dimona avant d’être envoyé dans l’usine
d’enrichissement d’uranium à Natanz. En décembre, nous relations que 1 000 centrifugeuses auraient été détruites par
le virus informatique.

Stuxnet a été passé au crible par une équipe de chercheurs en sécurité informatique. Au-delà du fait que tout le
monde s’accorde à dire qu’il est ultrasophistiqué, il avait des buts bien précis. Ralph Langner, de l’entreprise
allemande Langner Communications GmbH, qui a participé aux recherches, explique que le ver avait bien des
rôles précis, en plusieurs étapes : infiltrer le programme d’enrichissement, prendre en partie le contrôle du
système SCADA (supervisory control and data acquisition) pour forcer les centrifugeuses à fonctionner à des
vitesses anormales afin de les faire craquer.

Soulignons quant à nous que cette information n’est pas réellement surprenante, dans le sens où les Etats-Unis et
Israël étaient les coupables les plus « probables » dans cette affaire. Pour terminer, le NYT explique aussi que
Siemens (créateur du système SCADA) collabore avec des experts dans un laboratoire aux Etats-Unis pour
identifier les éventuelles failles. Le laboratoire en question sert également de centre de recherche pour le
Département de l’Energie (DoE) aux Etats-Unis.