Détecté en juin 2010, le virus Stuxnet a fait couler beaucoup d’encre, et pour cause : pour la première fois dans l’histoire de l’informatique, un programme malveillant avait été mis au point dans le but d’attaquer des systèmes de contrôle-commande industriels. Par chance (si l’on peut dire), ces attaques étaient très ciblées et les industriels européens ont été épargnés. Quoi qu’il en soit, l’épisode Stuxnet a permis une prise de conscience collective, car désormais les systèmes industriels ne sont plus considérés comme “inattaquables”. Et aujourd’hui, plus d’un an après l’annonce de la découverte du virus, nombreuses sont les entreprises qui ont déployé des solutions de sécurité, ou à défaut mis en place des politiques de protection de leurs installations.
Seulement voilà, Stuxnet a aussi inspiré des programmeurs mal intentionnés. Une équipe de chercheurs vient en effet d’annoncer la découverte d’un nouveau virus relativement similaire à Stuxnet. « Nous avons décidé d’appeler ce nouveau programme malveillant Duqu en raison des fichiers qu’il génère et qui commencent tous par le préfixe “DQ”, explique un des membres de l’équipe à l’origine de la découverte. Plusieurs éléments, dans le code de ce virus, nous laissent penser que les créateurs de Duqu ont eu accès au code source de Stuxnet. Tout d’abord, il y a le fait qu’il utilise un faux certificat électronique. Mais il y a aussi des similitudes dans la philosophie de conception, en ce sens que les deux virus sont construits de manière extrêmement modulaire : ils sont constitués de plusieurs morceaux de code séparés, qui se réunissent dans la machine cible pour former le code malveillant. »
Plus important encore, il semblerait que Duqu vise lui aussi des systèmes industriels… D’après Symantec, auteur d’un rapport à ce sujet, Duqu pourrait être le précurseur d’une future attaque sur le modèle de Stuxnet. « L’objectif de Duqu est de récolter des données chez les fabricants de systèmes de contrôle industriels, indique l’éditeur de solutions de sécurité dans le rapport en question. Duqu collecte toutes les saisies clavier de la machine qu’il a infectée, de telle sorte que ses auteurs peuvent avoir accès entre autres aux login et aux mots de passe qui ont été tapés. Pour cette raison, nous pensons que Duqu a été créé pour récupérer des documents techniques confidentiels, et que ces derniers pourront être utilisés pour mener à bien une future attaque sur le même modèle que Stuxnet. » Les industriels sont donc appelés à faire preuve de vigilance dans les mois qui viennent.
Pour plus d’informations sur le virus Duqu, téléchargez les rapports de Symantec et du laboratoire à l’origine de la découverte
- 25 octobre 2011 -