Virus Stuxnet : «impossible de localiser les responsables»

Ecrans.fr · 30-09-2010 11:24:19

Virus Stuxnet : «impossible de localiser les responsables»

L?analyse de Marc Blanchard, spécialiste des logiciels malveillants, sur l'attaque informatique qui a visé des installations iraniennes.

Lire l'article

gégé · 30-09-2010 11:31:38

La terre entière sauf le spécialiste qui décrete que c'est "la question a ne pas poser" (?!) a bien une "petite" idée d'où ça vient (indice : Unit 8200) pourtant, qu'est-ce qu'il faut pas faire comme triple-salto et circonvolutions en tous genres pour éviter de facher

http://www.bloomberg.com/video/63225920/

http://www.richardsilverstein.com/tikun … n-stuxnet/

http://blog.foreignpolicy.com/posts/201 … ut_stuxnet

http://www.opex360.com/2010/09/27/stuxn … dimension/

http://www.slate.fr/lien/27753/stuxnet- … ran-israel

http://sitemap.dna.fr/articles/201009/3 … 016004.php

Dernière modification par gégé (30-09-2010 12:05:26)

Alexandre Hervaud · 30-09-2010 12:08:37

gégé a écrit :

La terre entière sauf le spécialiste qui décrete que c'est "la question a ne pas poser" (?!) a bien une "petite" idée d'où ça vient (indice : Unit 8200) pourtant, qu'est-ce qu'il faut pas faire comme triple-salto et circonvolutions en tous genres pour éviter de facher

http://www.bloomberg.com/video/63225920/
http://www.richardsilverstein.com/tikun … n-stuxnet/
http://blog.foreignpolicy.com/posts/201 … ut_stuxnet
http://www.opex360.com/2010/09/27/stuxn … dimension/
http://www.slate.fr/lien/27753/stuxnet- … ran-israel
http://sitemap.dna.fr/articles/201009/3 … 016004.php

Une "idée", oui. Probable, possible, potentielle, mais improuvable malgré tout.

gégé · 30-09-2010 12:15:29

Alexandre Hervaud a écrit :

Une "idée", oui. Probable, possible, potentielle, mais improuvable malgré tout.

Bah oui, comme à peu près toutes les cyberattaques quoi, nous voila bien avancés... Disons que c'est juste un hasard si on ne mentionne pas Israel dans l'article alors que personne n'a jamais ce genre de pudeurs quand il s'agit de la Russie ou de la Chine, fussent-ils seulement soupçonnés...

Pour le reste j'en fais pas une fixette, et j'irai même jusqu'à dire que si ce virus était suffisamment efficace/continuait de muter/faire suer, ça me semblerait une méthode infiniment plus "acceptable" que de bombarder des populations. Maintenant l'un n'empechera pas forcément l'autre, mais on peut rever.

Dernière modification par gégé (30-09-2010 12:23:07)

Egmorn · 30-09-2010 13:19:13

Le ver se connecte ensuite aux systèmes Scada (système de contrôle des installations industrielles), qui sont à boucles fermées pour éviter toute intervention humaine[...]Contrôlé à distance, le ver peut également bouleverser les configurations des systèmes Scada, ou encore les instructions habituellement entrées par les ingénieurs

Comment on contrôle à distance le ver, une fois qu'il est sur un système fermé (et donc par principe sans contact avec l'extérieur)?

Autant l'article est intéressant, sans que ce soit vraiment original. Autant ce point m'a sérieusement interpellé. Volonté de vulgarisation un peu rapide? Manque de réflexion avant de répondre?

zlr · 30-09-2010 14:10:38

Egmorn a écrit :

Comment on contrôle à distance le ver, une fois qu'il est sur un système fermé (et donc par principe sans contact avec l'extérieur)?

En effet, d'apres ce que j'ai lu le ver ne communique pas avec qui que ce soit, il évolue tout seul. Le meilleur article est : http://www.symantec.com/connect/blogs/e … on-process

J'ai fais une petite compilation ici :
http://299792459.blogspot.com/2010/09/stuxnet.html

Alexandre Hervaud · 30-09-2010 14:21:48

gégé a écrit :

Bah oui, comme à peu près toutes les cyberattaques quoi, nous voila bien avancés... Disons que c'est juste un hasard si on ne mentionne pas Israel dans l'article alors que personne n'a jamais ce genre de pudeurs quand il s'agit de la Russie ou de la Chine, fussent-ils seulement soupçonnés...

Les soupçons envers les Etats Unis et Israel sont évoqués dans l'article de Libé paru hier aux côtés de l'interview de Marc Blanchard :

http://www.liberation.fr/monde/01012293 … re-iranien

On ne l'a pas récupéré ici, mais il est linké en début d'article.

gégé · 30-09-2010 14:27:27

Alexandre Hervaud a écrit :

Les soupçons envers les Etats Unis et Israel sont évoqués dans l'article de Libé paru hier aux côtés de l'interview de Marc Blanchard :
http://www.liberation.fr/monde/01012293 … re-iranien
On ne l'a pas récupéré ici, mais il est linké en début d'article.

Voui voui voui, avec un sous-titres d'anthologie, TEHERAN soupçonne les U.S. et Israel.
Ca s'est de l'accroche super neutre et pas du tout orientée
même en maternelle, ils seraient capables de décoder le message teheran=diable=pas credible. Et peu importe qu'on ne compte plus les zillions d'interview d'experts en sécurité qui soupçonnent la meme chose dans toutes les démocraties/capitales occidentales/journaux mainstream depuis 2 mois, pouf, on fait quand même l'accroche sur ... Teheran.
Grand moment de journalisme. On n'avait pas autant ri depuis les papiers sur le Honduras pour nous expliquer qu'un putsch finalement c'est pas forcément un putsch , ça dépend qui on renverse

Après le contenu lui-même est certes pas honteux, en ésperant qu'il y ait suffisamment de monde qui lise le papelard jusqu'au bout, pour les autres, le sous-titre leur dit quoi retenir

Sur ce j'arrête là ou je vais virer "aigrimed", j'ai évité autant que possible de me défouler sur Libé en utilisant ecrans jusqu'ici, je vais me reprendre, promis...

Dernière modification par gégé (30-09-2010 14:48:41)

A_ · 30-09-2010 14:38:12

Les lecteurs de libé sont suffisamment à gauche pour savoir que Iran = Usa = Satan.

Dernière modification par A_ (30-09-2010 14:38:42)

Sébi · 30-09-2010 15:25:14

Y a-t-il un risque que le ver échappe au contrôle de ceux qui l'ont envoyé ? Doit-on craindre un retour de flamme ?

gégé · 30-09-2010 15:34:48

Sébi a écrit :

Y a-t-il un risque que le ver échappe au contrôle de ceux qui l'ont envoyé ? Doit-on craindre un retour de flamme ?

C'est effectivement LE truc qui turlupine pas mal de monde. Il a déjà débordé d'Iran en tous cas. Et des systèmes de contrôle Siemens y'en a partout. Même s'il ne s'attaque pas à n'importe quel type d'infrastructure. Mais au minimum, il va donner des idées à plein de monde...

Ca c'est sur un plan technique, sur un plan politique, y'a pas besoin d'être conspi pour imaginer une revanche à prendre coté iranien. Même Reuters a déjà fait son papier sur le sujet/listé les hypothèses de base il y a 3 jours
http://www.reuters.com/article/idUSTRE68Q3KY20100927

Dernière modification par gégé (30-09-2010 15:44:42)

zlr · 30-09-2010 16:11:45

gégé a écrit :

C'est effectivement LE truc qui turlupine pas mal de monde. Il a déjà débordé d'Iran en tous cas. Et des systèmes de contrôle Siemens y'en a partout. Même s'il ne s'attaque pas à n'importe quel type d'infrastructure.

Je veux pas faire mon reulou, mais en l'état actuel, et si j'en crois l'analyse fort détaillée de symantec, le ver cible justement deux types de processeurs et un niveau de release bien particulier. Techniquement parlant il n'a donc pas "debordé d'Iran", regardez ce graphe : http://www.microsoft.com/security/porta … -07-16.png .

Le ver est *ciblé* sur un type de PLC, exclusivement présent en Iran et en Indonésie. Dans les analyse du code du ver rien ne semble indiquer que stuxnet ait vocation a changer ses cibles, c'est au contraire *le fait qu'il ait des cibles spécifiques qui est parlant*.

Déformer des réalités techniques pour abonder un point de vue politique déjà trivial est une technique faible. Vous devriez arrêter.

gégé · 30-09-2010 16:25:27

gégé a écrit :

Je veux pas faire mon reulou

trop tard...

ben oui je l'ai vu le graphe, et contrairement à vous, je suis capable de voir au dela des 2 premières colonnes. Ou alors va falloir réécrire la définition "d'exclusif"
Quant à changer ses cibles, c'est effectivement pas le ver qui va faire ça tout seul, mais maintenant que tout le monde est dessus, va y avoir comme un bond dans la diffusion et l'efficacité des techniques d'attaque, que Microsoft patche ou pas, et bien au dela des bisbilles Israel/Iran. Ca c'était la partie 'ca va donner des idées à plein de monde' que vous avez zappé.

zlr a écrit :

Vous devriez arrêter.

Dommage, j'obéis qu'à mon médecin, et c'est pas vous

Dernière modification par gégé (30-09-2010 16:38:57)

zlr · 30-09-2010 16:53:13

Après deux mois d'attaque et vu les analyses du code en cours, il me semble qu'on aurait déjà mis en évidence d'autres modèles cibles. Ou au moins que vous seriez capable de produire une source crédible. Mais si vous preferez affabuler ...

gégé · 30-09-2010 17:34:06

Devriez changer de lunettes, je vois plus que ça...

zlr a écrit :

il me semble qu'on aurait déjà mis en évidence d'autres modèles cibles

Psst, on est d'accord :

gégé a écrit :

Quant à changer ses cibles, c'est effectivement pas le ver qui va faire ça tout seul

ensuite qu'est-ce vous ne comprenez pas dans :

gégé a écrit :

ca va donner des idées à plein de monde

Vous voyez pas l'enchainement logique ? L'emploi du futur ?

Dernière modification par gégé (30-09-2010 17:50:16)

zlr · 30-09-2010 18:51:10

ben oui je l'ai vu le graphe, et contrairement à vous, je suis capable de voir au dela des 2 premières colonnes. Ou alors va falloir réécrire la définition "d'exclusif"

Ce que ce graphe signifie c'est que le ver cible des versions de PLC très largement localisée à l'Iran et l’Indonésie : 1.89% de machines infectées contre 0.34% ce qui est jugé par tout le monde sauf par vous comme étant très significatif : il suffit de comparer aux distributions d'autres vers.

Le fonctionnement du ver fait qu'il ne se déploie que sur des PLC spécifiques, par exemple :

The code also searches for the bytes 2C CB 00 01 at offset 50h in the SDB blocks, which appear if the CP 342-5 communications processor (used for Profibus-DP) is present. If these bytes are not found then infection does not occur.

Certes, microsoft mesure l'infection windows et non pas celle des PLC, mais l’étude du virus montre que ces deux effets sont liés. Ce qui est certain c'est que pour un ver il déborde justement extrêmement peu.

Quant à changer ses cibles, c'est effectivement pas le ver qui va faire ça tout seul, mais maintenant que tout le monde est dessus, va y avoir comme un bond dans la diffusion et l'efficacité des techniques d'attaque

Franchement, cette phrase ne veut rien dire. Le "bond" a lieu depuis déjà longtemps, et "l'efficacité des techniques d'attaques" n'a rien à voir avec cette attaque spécifique, qui est somme toute assez banale: une faille windows zero day.

ca va donner des idées à plein de monde

L'idée d'attaquer les PLC est loin d’être nouvelle (http://en.wikipedia.org/wiki/Siberian_pipeline_sabotage).

Vous semblez vouloir dire qu'un autre ver pourrait cibler d'autres PLC. C'est certes possible, mais pour l'instant c'est de la science fiction, d'autant plus qu'il y a mine de rien une barrière technique, qui justement n'est pas à la portée de n'importe quel script kiddie.

que Microsoft patche ou pas

Microsoft a patché le 2 aout, mais cela n'est pas le problème : la méthode d'infection est complexe mais basée sur une faille pas moins triviale qu'une autre. Ce n'est pas cela qui fait la spécificité de stuxnet, mais bien le fait qu'il cible des PLC. Vous auriez pu dire "que Siemens patche ou pas", ce qui pour le coup fera bien une réelle différence.

et bien au delà des bisbilles Israel/Iran.

Je vois très bien ce que vous voulez croire : que libé défends Israel et les USA en sous titrant "TEHERAN soupçonne...", que les conséquences vont dépasser celles que les "gouvernements occidentaux" ont prévu, etc... Les forums, et en particulier celui de libération, sont pleins de ce genre de postes qui sautent sur la moindre occasion pour essayer de défendre ce même ensemble de points de vue pseudo contestataire.

Mais rien dans ce qu'on sait aujourd'hui de stuxnet ne corrobore ces affabulations et déformer la réalité par de multiples approximations n'y change rien.

Ce que stuxnet montre c'est la faiblesse de l'outil industriel, et en particulier celui de la filière nucléaire. Ce n'est certes pas nouveau et si quelque chose est étonnant c'est bien l'absence de débat sur la fiabilité de ces installations.

Dernière modification par zlr (30-09-2010 19:25:17)

gégé · 30-09-2010 19:28:37

zlr a écrit :

Ce que ce graphe signifie c'est que le ver cible des versions de PLC très largement localisée à l'Iran et l’Indonésie : 1.89% de machines infectées contre 0.34% ce qui est jugé par tout le monde sauf par vous comme étant très significatif : il suffit de comparer aux distributions d'autres vers.

Euh, oui, et ? Qu'on en retrouve jusqu'aux U.S., ça me suffit pour dire que ça déborde si ce sont les installations nucleaires iraniennes qui sont visées. Que le mot debordement vous choque dans ce cas là , qu'est-ce que vous voulez que ça me foute ?

zlr a écrit :

Le fonctionnement du ver fait qu'il ne se déploie que sur des PLC spécifiques, par exemple :

un jour vous allez comprendre que vous n'êtes pas le seul à savoir cliquer sur les pages symantec & co...

Le "bond" a lieu depuis déjà longtemps, et "l'efficacité des techniques d'attaques" n'a rien à voir avec cette attaque spécifique, qui est somme toute assez banale: une faille windows zero day.

Encore des problèmes de compréhension je vois, je sais pas ce qui vous empeche décidement de comprendre l'usage du FUTUR dans une syntaxe...

ca va donner des idées à plein de monde
L'idée d'attaquer les PLC est loin d’être nouvelle
Vous semblez vouloir dire qu'un autre ver pourrait cibler d'autres PLC. C'est certes possible,

Ah ben quand meme, on y arrive, ouf

mais pour l'instant c'est de la science fiction,

D'où l'emploi du...futur... Décidement quand ça veut pas.

PS : vous remarquerez que ce fameux vers identifié mi 2010 date de ...2009 . Donc la science-fiction, elle est peut-etre déjà en cours et on le saura l'année prochaine...

d'autant plus qu'il y a mine de rien une barrière technique, qui justement n'est pas à la portée de n'importe quel script kiddie.

ce qui tombe bien vu que ca n'a jamais été le sujet ici.

Microsoft a patché le 2 aout

Seulement 2 des 4 failles autant que je me souvienne (la flemme d'y retourner). Mais peu importe...

Je vois très bien ce que vous voulez croire : que libé défends Israel et les USA en sous titrant "TEHERAN soupçonne...", que les conséquences vont dépasser celles que les "gouvernements occidentaux" ont prévu, etc

Oulalah, ça va pas en s'arrangeant... Je ne me cache pas d'avoir effectivement réagi à la non-mention d'israel dans le post original , ce qui pretait à sourire quand c'était remplacé par la mention "ne pas poser la question" alors qu'à peu pres l'integralité des autres articles sur le web le mentionne à tour de bras. Pas de quoi en faire un fromage et je suis passé à autre chose (voir fin du post #8). Le reste , c'est votre propre colère/indignation/allergie qui vous fait délirer. Quand je dis "plein de monde", ça veut dire...plein de monde (je sais pas pour vous, mais moi j'ai pour habitude d'énoncer les choses comme je les pense, et comme les premiers posts le prouvent, si j'ai envie de pointer quelque chose/quelqu'un, j'ai pas besoin de périphrases), que vous arrivez à transformer par "gouvernements occidentaux" et me colliez une étiquette de conspi islamo gauchiste au cul pour le meme prix, c'est votre délire, assumez le.

Dernière modification par gégé (30-09-2010 19:41:32)

zlr · 30-09-2010 19:41:10

Euh, oui, et ? Qu'on en retrouve jusqu'aux U.S., ça me suffit pour dire que ça déborde si ce sont les installations nucléaires iraniennes qui sont visées. Que le mot debordement vous choque dans ce cas là , qu'est-ce que vous voulez que ça me foute ?

Non : ce que cela signifie c'est que certains PLC utilisés en Iran sont aussi utilisés ailleurs, et ce qui est étonnant c'est l’extrême localisation du phénomène malgré le fait que ces dispositifs sont massivement implantés. Vous retournez la réalité, ce qui est d'autant plus dommage que c'est un argument qui va dans votre sens tant la mise en œuvre d'un tel ciblage nécessite des moyens précis et importants.

un jour vous allez comprendre que vous n'êtes pas le seul à savoir cliquer sur les pages symantec & co...

Très clairement vous ne l'aviez pas fait avant de vous mettre à raconter n'importe quoi, mais je suis satisfait que cette discussion vous ai permis de vous confronter à la réalité des faits.

ce qui tombe bien vu que ca n'a jamais été le sujet ici.

Mince alors, et moi qui croyait que vous parliez de "la diffusion et l'efficacité des techniques d'attaque".

Je ne reviens pas sur la suite de vos propos : vous admettez vous même être dans la spéculation la plus totale, c'est l'essentiel.

Seulement 2 des 4 failles autant que je me souvienne (la flemme d'y retourner). Mais peu importe...

Comme c'est dommage, vous nous auriez enfin donné quelque chose de tangible et intéressant.

Quand je dis "plein de monde", ça veut dire...plein de monde, que vous arrivez à transformer par "gouvernements occidentaux" et me colliez une étiquette de conspi islamo gauchiste au cul pour le meme prix, c'est votre délire, assumez le.

En l’occurrence vous vous coller cette étiquette vous même. Je vous signale juste les incohérences grossières de votre propos et le fait que vous déformiez les faits, volontairement ou par ignorance, pour abonder un point de vue.

Dernière modification par zlr (30-09-2010 19:45:00)

gégé · 30-09-2010 19:43:58

ok l'aveugle, microsoft avait tellement tout corrigé en aout qu'il a du continuer en septembre

http://www.generation-nt.com/microsoft- … 80571.html

zlr a écrit :

Je ne reviens pas sur la suite de vos propos : vous admettez vous même être dans la spéculation la plus totale, c'est l'essentiel.

En meme temps, sans capsule spatio-temporelle, ça va être dur de faire autre chose que de la spéculation sur le futur, mais merci encore pour cet enfonçage de porte ouverte...

Dernière modification par gégé (30-09-2010 19:53:47)

zlr · 30-09-2010 19:47:14

C'est intéressant, mais ça ne change rien : comme je vous l'ai signalé plusieurs fois, les failles windows utilisées sont une composante mineure de la spécificité de cette attaque.

gégé · 30-09-2010 19:48:54

lol, c'est intéressant, c'est tangible, ça prouve juste que vous ne maitrisez pas plus le sujet que n'importe quel quidam lambda qui sait lire (voire plutôt moins), mais ça ne change rien, ok
Bon sur ce j'ai bien rigolé mais ça suffit pour ce soir, je vous laisse le diplome du grand spécialiste auto-proclamé du dit virus si ça vous chante, ça m'en touche une sans bouger l'autre

Dernière modification par gégé (30-09-2010 19:57:25)

zlr · 30-09-2010 19:57:56

Un peu facile de quitter après un google aboutissant sur "generation nt" ... Vous ne prouvez aucunes des contre verités que vous avez avancé jusque là.

Et je n'ai certainement pas prétendu être un expert en virus. Par contre je suis un expert en détection de FUD, et vous semblez être une très bonne source de FUD.

gégé · 01-10-2010 16:40:19

et maintenant au tour de la Chine pour le virus qui cible "exclusivement l'iran et l'Indonésie"

http://www.lemonde.fr/technologies/arti … 51865.html
http://news.yahoo.com/s/afp/20100930/tc … itsecurity

Dernière modification par gégé (01-10-2010 16:42:36)

gégé · 10-11-2012 03:33:38

un ptit bump des familles pour reprendre des nouvelles de Stuxnet

http://www.lemonde.fr/technologies/arti … 51865.html

Le fait que Stuxnet ait infiltré le système informatique de Chevron montre que ce type d'attaque informatique peut faire des victimes collatérales, notamment dans le secteur énergétique d'un pays qui est soupçonné d'être derrière sa conception. "Je ne pense pas que le gouvernement américain ait même réalisé à quel point [le virus] s'est propagé, a commenté Mark Koelmel, un responsable de Chevron, interrogé par le Wall Street Journal et cité dans son édition en ligne jeudi. Je pense que le revers de la médaille de ce qu'ils ont fait est pire que ce qu'ils ont réussi à accomplir."

http://blogs.wsj.com/cio/2012/11/09/the … r-systems/

Chevron says it was infected by the same Stuxnet virus that was used, allegedly by the U.S. government, to cripple Iran’s nuclear facilities in 2010. But Chevron is hardly alone. “We’re finding it in our systems and so are other companies,” Mark Koelmel, general manager of the earth sciences department at Chevron, tells CIO Journal’s Rachael King. “So now we have to deal with this

Signé FUDman ^^

Dernière modification par gégé (10-11-2012 03:46:02)

Annonce

#1 30-09-2010 11:24:19

Virus Stuxnet : «impossible de localiser les responsables»

#2 30-09-2010 11:31:38

Re : Virus Stuxnet : «impossible de localiser les responsables»

#3 30-09-2010 12:08:37

Re : Virus Stuxnet : «impossible de localiser les responsables»

#4 30-09-2010 12:15:29

Re : Virus Stuxnet : «impossible de localiser les responsables»

#5 30-09-2010 13:19:13

Re : Virus Stuxnet : «impossible de localiser les responsables»

#6 30-09-2010 14:10:38

Re : Virus Stuxnet : «impossible de localiser les responsables»

#7 30-09-2010 14:21:48

Re : Virus Stuxnet : «impossible de localiser les responsables»

#8 30-09-2010 14:27:27

Re : Virus Stuxnet : «impossible de localiser les responsables»

#9 30-09-2010 14:38:12

Re : Virus Stuxnet : «impossible de localiser les responsables»

#10 30-09-2010 15:25:14

Re : Virus Stuxnet : «impossible de localiser les responsables»

#11 30-09-2010 15:34:48

Re : Virus Stuxnet : «impossible de localiser les responsables»

#12 30-09-2010 16:11:45

Re : Virus Stuxnet : «impossible de localiser les responsables»

#13 30-09-2010 16:25:27

Re : Virus Stuxnet : «impossible de localiser les responsables»

#14 30-09-2010 16:53:13

Re : Virus Stuxnet : «impossible de localiser les responsables»

#15 30-09-2010 17:34:06

Re : Virus Stuxnet : «impossible de localiser les responsables»

#16 30-09-2010 18:51:10

Re : Virus Stuxnet : «impossible de localiser les responsables»

#17 30-09-2010 19:28:37

Re : Virus Stuxnet : «impossible de localiser les responsables»

#18 30-09-2010 19:41:10

Re : Virus Stuxnet : «impossible de localiser les responsables»

#19 30-09-2010 19:43:58

Re : Virus Stuxnet : «impossible de localiser les responsables»

#20 30-09-2010 19:47:14

Re : Virus Stuxnet : «impossible de localiser les responsables»

#21 30-09-2010 19:48:54

Re : Virus Stuxnet : «impossible de localiser les responsables»

#22 30-09-2010 19:57:56

Re : Virus Stuxnet : «impossible de localiser les responsables»

#23 01-10-2010 16:40:19

Re : Virus Stuxnet : «impossible de localiser les responsables»

#24 10-11-2012 03:33:38

Re : Virus Stuxnet : «impossible de localiser les responsables»

Pied de page des forums