Pour Itzik Kotler, le cadeau le plus empoisonné que nous ait offert l’attaque Stuxnet, c’est le discret retour du « virus matériel ». Une thèse autour de laquelle s’étayait sa présentation, tranchant ainsi avec le Kotler de HES 2010, celui qui avait modélisé le premier « botnet sans C&C » (Centre de Commande et Contrôle). Alors, le virus qui détruit le « hard », fantasme technoïde ou nouvelle génération de malware ?
« Je ne dis pas que tous les virus cibleront un jour les équipements informatiques ou graviteront autour de l’informatique. Mais le précédent Stuxnet nous le fait bien comprendre : le code malfaisant capable de détruire ou de dérégler un périphérique ou un système existe. Et ce précédent risque d’en inspirer beaucoup. »
Examinons tout d’abord la « faisabilité » de ces virus matériel, continue Kotler. Dès que sont apparus sur le marché les premiers ordinateurs personnels, et ce bien avant que l’on puisse imaginer l’invasion des infections logicielles, il s’est trouvé des hackers, des chercheurs qui ont rédigé des codes potentiellement destructeurs. Des routines capables de persuader un lecteur de disquettes ou le bras d’un disque dur d’aller chercher des données sur des secteurs situés « au-delà » de la piste zéro, par exemple. Des bouts de code persuadant un registre que l’affichage d’un écran monochrome IBM devait s’effectuer en 800×600 (ndlr contre 640×480) : cette commande avait rapidement raison des amplis de déviation ligne, et le moniteur finissait rapidement par rendre l’âme. Par essence, ces programmes méritaient plus le qualificatif de bombes que de virus, leur déclenchement entraînait de facto leur propre mort. De nos jours, on ne compte plus les amateurs d’overclocking qui jouent tantôt avec les tensions d’alimentation, tantôt avec les fréquences des mémoires, des processeurs, des cartes graphiques… Bon nombre de ces paramètres nécessite une simple modification des variables Bios, lesquelles bien entendu peuvent être modifiées par un programme. Mal utilisés, ces paramètres peuvent irrémédiablement griller un ordinateur ou un composant vital. Parallèlement, les mécanismes de propagation d’une charge létale se sont singulièrement améliorés. Le malware peut « survivre » à la destruction de la machine porteuse s’il est véhiculé par une attaque en drive by download, un botnet ou un virus « USB+SMB » genre Stuxnet.
Voilà pour la partie la plus évidente. Mais l’on comprend vite les implications d’une telle évolution des menaces. Dans le secteur industriel notamment. Si, dans les années 70 à 90, les chaînes de contrôle de processus industriel étaient pilotées par des mini-ordinateurs contrôlant des automates programmables, les contraintes économiques et les obligations de rentabilité ont peu à peu fait remplacer ces minis par des micros… Des micros que l’on préfère changer lorsqu’ils sont fatigués plutôt que d’acquérir des modèles « durcis », des micros qui sont plus souvent que l’on ne le croit raccordés à Internet, des micros (Stuxnet nous l’a prouvé) qui ne sont guère plus protégés contre des attaques extérieures que n’importe quelle autre machine bureautique.
D’un point de vue technique, les logiciels de défense périmétrique classiques sont souvent impuissants face à ce genre de danger. Si le vecteur de propagation de Stuxnet pouvait être effectivement détecté et analysé, ce n’était pas le cas de la partie chargée de modifier les points de consigne de l’automate programmable visé : autre noyau, autre langage, autre protocole… rien qui ne puisse paraître suspect voir simplement connu par un antivirus moderne, un IPS ou un firewall classique. Cette attaque « par la bande » totalement hétérogène montre les limites des principes de défense utilisés en microinformatique.
CNIS : L’exception ne fait pas la règle et Stuxnet est pour l’instant un fait unique, dont on se demande encore s’il relève de l’échec, du vecteur de « guerre psychologique » ou de l’opération d’intoxication. Qui donc aurait intérêt à utiliser un virus « casseur de hard » ?
Itzik Kotler :On l’a supposé lors des attaques Stuxnet : des organismes gouvernementaux. Mais ce ne sont pas les seuls. Que l’on considère les statistiques des éditeurs ou ceux d’institutions officielles ou des multiples organisations policières occidentales, les attaques « ciblées » ont tendance à prendre le pas sur les invasions virales massives et aveugles. Pour les bandes mafieuses, c’est une manière d’optimiser les attaques et accroître des gains, ou plus exactement de « retour sur investissement » d’une location de botnet ou d’un développement de virus spécialisé dans le vol d’informations. Pour les Etats misant sur les actes de « cyberguerre » ou « cyberespionnage » (et tout ce que cela englobe) c’est le seul moyen de ne pas être noyé par un bruit de fond constitué de données sans importance. Pour certaines entreprises peu scrupuleuses, c’est un moyen de frapper un concurrent précis à un moment stratégique.
CNIS : … Malgré le risque d’une fuite « sur le tard » qui pourrait révéler leur implication et ainsi ternir leur image de marque et la confiance de leurs clients ?
I.K. : Sans le moindre doute. Ce qui était prudence jusqu’à présent s’efface aujourd’hui face à des politiques plus expéditives, plus radicales. Peut-être la conséquence de l’actuelle récession économique occidentale, qui force certains à durcir leurs actions. Imaginez, dans la course opposant deux entreprises concurrentes, que l’une d’entre elle voit la majorité de son système informatique rendu inutilisable à la suite d’une série de pannes matérielles ? Là, aucune possibilité de recours au backup salvateur.
CNIS : Le risque pourrait être mitigé en imaginant un partage équilibré des ressources de traitement chez un sous-traitant « cloud computing » ?
I.K. C’est une possibilité. Mais elle n’est pas nécessairement la plus fiable. Imaginez que je développe un outil capable de stresser un disque dur par des cycles de lecture-écriture incessants. Dans le cadre d’une informatique « cloudifiée », ce petit jeu affectera également tous les clients partageant la ressource matérielle commune. L’attaque a été conduite sans même avoir à pénétrer le S.I. de l’entreprise concurrente. Certes, c’est là une vision très schématique de ce que l’on peut faire dans le registre des attaques matérielles, et les résultats dépendent d’un nombre de facteurs assez important (type de disques, organisation au sein des grappes RAID, répartition et architecture du SAN de l’hébergeur…), mais je ne puis vous donner que cet exemple, souhaitant demeurer le plus imprécis possible pour ne pas inspirer trop de vocations chez les blackhats.
Itzik Kotler, ancien chercheur en sécurité au sein de l’entreprise Israélienne Radware, est depuis peu Chief Technical Officer et co-fondateur de Security Art, dont le slogan est « Going above and beyond traditional security ». L’an passé, lors de la précédente édition de Hackito Ergo Sum, sa présentation portait sur la conception d’un botnet ne nécessitant aucun C&C. Sa manière de penser « en dehors des sentiers battus » fait de lui l’un des principaux empêcheurs de penser en rond de la scène sécurité internationale.