décembre 16th, 2010

Le rootkit TDL4 serait, nous explique notre confrère Ron Condon de Security News une copie de Stuxnet visant les utilisateurs de Windows. Pour preuve, ce successeur d’Alureon utiliserait pour fonctionner un même exploit la faille CVE: 2010-3888. A l’origine de ce « scoop », une analyse bien plus mesurée écrite par Sergey Golovanov du laboratoire Kaspersky.

Le fait d’utiliser une (et une seule) pièce détachée du premier virus « militarisé » recensé à ce jour n’en fait toutefois pas le char d’assaut qu’était Stuxnet. Pas plus que les usagers de Windows ne se trouvent soudainement considérés comme aussi importants que des utilisateurs de centrifugeuses ou alors du calibre de celles communément appelées « essoreuse à salade ». D’ailleurs, la description ultérieure qu’en fait Golovanov montre bien qu’il ne s’agit là que d’un rootkit de plus, bien rédigé et protégé, mais sans plus.

Si une certaine forme d’inspiration peut faire de Stuxnet une référence dans le secteur de l’écriture de codes aussi malicieux que maléfiques, la stuxnetisation des malwares est en revanche une illusion. Elle exigerait trop de travail, trop d’investissements, trop de développements, trop peu de retour sur investissement pour que les factions mafieuses du vol de crédences bancaires fassent plus qu’y jeter un coup d’œil. S’il doit exister une école Stuxnet, ce sera plus dans les domaines plus pointus du « spear spying » civil ou militaire qu’elle se développera.

La toute dernière édition de Mehari est disponible en téléchargement (gratuit) sur le site du Clusif (Club de la Sécurité de l’Information Français). Il s’agit là d’une méthode et d’outils destinés à aider les RSSI et DSI en matière de définition des buts, d’étude des vulnérabilités, d’évaluation des risques, de pilotage et de validation de la sécurité et des politiques à mettre en œuvre au sein des entreprises. Une édition en langue anglaise est même disponible sur le site.