jeudi 5 janvier 2012

Stuxnet, DuQu : évidences et mystères

http://www.pcmag.com/article2/0,2817,2398201,00.asp
Stuxnet et Duqu continuent d'être analysés un peu partout dans le monde, Kaspersky et Symantec étant à la pointe des recherches. Codes malveillants à finalité ou offensive (Stuxnet) ou de reconnaissance (Duqu), les chercheurs ont maintenant la certitude qu'ils sont issus de la même plateforme logicielle, baptisée "Tilded" (du symbole ~ laissé comme "signature" par les deux) et que leurs développements respectifs ont une seule et même  origine.

Si la rétro-ingénierie éclaire la partie technique, aucun élément ne peut relier ces codes sophistiqués à un pays en particulier même si, depuis le départ, les États-Unis et Israël sont fortement suspectés. Ce qui renforce cette hypothèse, c'est de savoir que la conception de ces codes a pris plusieurs années, dans un cadre extrêmement organisé du fait du développement de modules par des groupes différents avec comme finalité des opérations de cyberespionnage et de sabotage. L'ombre d'un ou plusieurs États est donc l'hypothèse la plus crédible. 

On se référera au passionnant article qui m'a servi pour écrire celui-ci pour des détails supplémentaires mais ce qu'il en ressort c'est bien que l'Iran est la cible de Stuxnet et Duqu, que l'organisation qui les a développés continuerait de les améliorer (reconfiguration, recompilation) afin de déjouer équipements de sécurité et spécialistes qui les traquent. Certains spéculent même sur le fait que des nouvelles variantes seraient à l’œuvre et que des variantes de Duqu ont été conçues pour différentes cibles. 

Enfin, et c'est sûrement l'un des points les plus incroyables, l'un des composants ciblant les serveurs C&C (Command and Control / contrôle-commande) a été écrit dans un langage de programmation inconnu jusqu'à présent ! Nul doute que d'évidences en certitudes, ces codes malveillants d'un nouveau genre n'ont pas fini de faire parler d'eux. Peut-être d'ailleurs, l'Histoire le dira dans quelques années, seront-ils considérés dans quelques années comme les premières cyberarmes effectives ?

Aucun commentaire: