Embed Size (px)
DESCRIPTION
STUXNET. Découverte d’un programme malveillant hors normes. Un malware intriguant. En juin 2010, un petit éditeur antivirus biélorusse découvre une nouvelle menace : Dispose de moyens de furtivité impressionnants Dispersion géographique étonnante - PowerPoint PPT Presentation
Citation preview
1
STUXNET
05/05/2011
1
>Découverte d’un programme malveillant hors normes STU
XNET
Un malware intriguant
En juin 2010, un petit éditeur antivirus biélorusse découvre une nouvelle menace :
- Dispose de moyens de furtivité impressionnants
- Dispersion géographique étonnante
- Semble cibler les infrastructures industrielles Siemens
Six mois plus tard…
-> une arme pour une opération de sabotage ciblée
2
STU
XNET
20/0
4/23
Localisation des infections3
STU
XNET
20/0
4/23
D’importants moyens mis en œuvrePropagation locale
4
STU
XNET
20/0
4/23
>MS10-046Périphérique stockage amovibles >MS10-061
Imprimantes partagées>MS10-046 Dossiers partagées
>Projets Step7 (Siemens)
>Mots de passe par défautBases de données WinCC (Siemens)
D’importants moyens mis en œuvre5
STU
XNET
20/0
4/23
Quatre vulnérabilités non patchées dont trois déjà connues
D’importants moyens mis en œuvreSignature Authenticode des pilotes
6
STU
XNET
20/0
4/23
Cinq organisations initialement ciblées en Iran7
STU
XNET
20/0
4/23
Attaque contre les systèmes SCADA8
STU
XNET
20/0
4/23
Une opération de sabotage ciblée
20/0
4/23
9
STU
XNET
Une opération de sabotage discrète
20/0
4/23
10
STU
XNET
- L’attaque ne se déclenche que tous les 27 jours
- Les processus modifiés sont masqués
- Les systèmes d’alerte sont désactivés
20/0
4/23
11
STU
XNET
Quelles conséquences ?
La médiatisation
20/0
4/23
12
STU
XNET
• C’est la première fois qu’une cyberattaque industrielle est rendue publique
• Le mode de propagation laissait penser que toutes les systèmes Siemens étaient ciblés
• - «les infrastructures critiques vulnérables aux cyberattaques ?»
Rien n’a été révélé…
Les hypothèses Quelques indices dans le programme… Fausses pistes ?
20/0
4/23
13
STU
XNET
Cible évoquées Auteurs évoqués
Iran Israël, pays occidentaux
Iran Chine
Inde Chine
Siemens ?
Chine USA
… …
L’Iran : la cible la plus évoquée
• Site d’enrichissement d’Uranium de Natanz
Convergences Inconnues
Cascades de 164 centrifugeuses Equipements ciblés présents sur site ?
Vitesse de rotation des centrifugeuses Stuxnet a-t-il été efficace ?
Modifications induites par Stuxnet compatibles avec un endommagement des centrifuges
USA, Israël, Iran admettent que Natanz est une cible de cyberattaques
L’Iran : la cible la plus évoquée
20/0
4/23
15
STU
XNET
- La cible peut être différente ou multiple
- On ne sait pas si l’objectif a été atteint
- L’objectif peut être plus complexe
Bilan
20/0
4/23
16
STU
XNET
• Stuxnet démontre la possibilité d’attaques contre les procédés industriels et les infrastructures critiques via la dimension « cyber »
• Stuxnet ré-exploité ?
• Les systèmes SCADA ont besoin d’être précis et performants et tolèrent difficilement une couche de sécurité supplémentaire
• Leur sécurité reposait sur leur spécificité et leur isolation, mais ils sont de plus en plus interconnectés
>Tél. (+33) 01 55 86 88 88
LEXSI SINGAPORE60 Bayshore Road / Bayshore Park #10-07 - Jade Tower 469982 - Singapore Tél. +65 65191705
LEXSI CANADA1010, rue de la Gauchetière OuestBureau M110 Montréal QC H3B 2N2 Tél. +1 514 903 6560
LEXSI LYONBois des Côtes 1 - Bâtiment A300 route Nationale 669760 LIMONEST Tél. (+33) 08 20 02 55 20
Merci de votre attention
www.lexsi.com
Tél. (+33) 01 55 86 88 88
