Le virus Stuxnet, dont les attaques frappent l'Iran, est un «maliciel» d'une complexité «sans précédent» qui n'est pas «le travail d'un petit hacker», selon Laurent Heslault, directeur des technologies de sécurité chez le spécialiste de la protection informatique Symantec.
Question - En quoi consiste le virus Stuxnet ?
Réponse - «La grande majorité des «maliciels» sont là pour dérober de l'argent, des comptes bancaires, des identités. Là, on a vraiment affaire à quelque chose de très différent puisque le but final, même s'il n'est pas très clair, est, semble-t-il, d'aller infecter un certain nombre d'automates de commandes industriels, la plupart étant pilotés par un logiciel venant de la société Siemens. In fine, le but est d'utiliser cette machine comme un vecteur d'infection des automates de commande de tout ce qui concerne l'eau et l'énergie: les centrales, les pipelines. Pour quoi faire? Cela reste flou car ces automates de commandes peuvent piloter par exemple des électrovannes ou des systèmes de refroidissement (dans les centrales nucléaires, ndlr) ou des niveaux de pression».
Q - Qui le virus a-t-il touché ?
R - «La grande majorité des infections pour compromettre des automates industriels, soit 60%, venaient d'Iran, contre près de 20% en Indonésie et 8% d'Inde. Il est évident qu'il est plus visible en Iran qu'ailleurs. L'impact réel est difficile à connaître, car c'est potentiellement dans des pays qui ne vont pas communiquer.
Le virus continue à se propager, mais de manière moins virulente. Le côté positif, c'est que c'est un vrai signal d'alerte, notamment pour les gens en charge des infrastructures critiques, pour leur dire: "c'est possible, que ce n'est pas juste un délire d'Hollywood!".
Il ne faut pas tomber dans la paranoïa, mais c'est une vraie menace qui a pris beaucoup de temps et beaucoup d'argent à un groupe de personnes motivé».
Q - Sait-on d'où vient ce virus ?
R - «C'est sans précédent: on n'avait jamais vu quelque chose comme ça sur la qualité du développement. Ce "maliciel" est 10 à 20 fois plus gros que les autres, il y a énormément de programmes dedans, de codes, on en découvre encore quasiment chaque jour. On estime le temps de développement à l'équivalent de 6 à 10 personnes sur 6 ou 9 mois, au minimum.
Ce qui est impressionnant, c'est le niveau de sophistication qui a été mis dans le développement très professionnel et l'utilisation de vulnérabilités zero day, c'est à dire qui n'ont jamais été détectées avant. Ils ont été jusqu'à voler des certificats d'une compagnie de software taïwanaise pour faire en sorte que leur maliciel soit signé et n'ait pas l'air malveillant. C'est du jamais vu.
Ce n'est pas du tout le travail du petit hacker dans sa cave. On est même largement au dessus du gang de cybercriminels classique».