Stuxnet este un malware complex dezvoltat pentru a sabota programul nuclear iranian.

Care a fost scopul principal al lui Stuxnet?

Scopul principal al Stuxnet a fost de a sabota centrifugele din complexul de îmbogățire a uraniului din Natanz, Iran.

Cum se propagă Stuxnet?

Stuxnet se propagă prin rețele locale și dispozitive USB, utilizează diverse vulnerabilități de tip zero-day.

Cine sunt considerați a fi creatorii lui Stuxnet?

Se crede că creatorii Stuxnet sunt Statele Unite, Marea Britanie și Israel.

Ce este un atac zero-day?

Un atac zero-day exploatează o vulnerabilitate necunoscută anterior într-un software, fără ca dezvoltatorul să fi avut timp să o remedieze.

Cum funcționează mecanismul de propagare prin USB al Stuxnet?

Stuxnet infectează automat mașinile când se conectează un USB, exploatând o vulnerabilitate în fișierele shortcut LNK.

Cum a fost posibil ca Stuxnet să nu fie detectat inițial?

Stuxnet avea mecanisme avansate de camuflare, inclusiv manipularea datelor afișate către operatori prin software SCADA.

De ce este considerat Stuxnet o armă cibernetică?

Stuxnet este considerat o armă cibernetică deoarece avea potențialul de a produce daune fizice grave infrastructurilor nucleare.

Voici la première cyberarme de l’histoire

00:41:21

https://www.youtube.com/watch?v=gXtp6C-3JKo

Ringkasan

TLDRDocumentarul analizează dezvoltarea și efectele virusului Stuxnet, o unealtă cibernetică creată de SUA și Israel pentru a sabota programul nuclear al Iranului. Acest malware sofisticat a fost proiectat să infecteze și să controleze sistemele de control industrial (PLC) din centrala de îmbogățire a uraniului Natanz din Iran. Stuxnet a utilizat mai multe vulnerabilități critice și s-a răspândit rapid, afectând o mare parte a rețelelor globale. A fost un pas inovator către armele cibernetice, schimbând regulile conflictelor internaționale și provocând o nouă eră a războiului digital. Documentarul dezvăluie complexitatea și noile dimensiuni ale conflictelor geopolitice moderne cauzate de avansul tehnologic.

Takeaways

💣 Stuxnet - primul virus cibernetic capabil să cauzeze daune fizice.
🌐 A fost dezvoltat pentru a sabota programul nuclear iranian într-un mod invizibil.
🖥️ Malware-ul a folosit vulnerabilități zero-day rare și valoroase.
🛡️ Sophos și multe alte companii de securitate au analizat complexitatea lui Stuxnet.
🔍 Virusul s-a propagat prin rețele locale și dispozitive USB infectate.
🔑 A fost semnat cu certificate Windows furate, oferindu-i acces neted.
🤯 Comunicarea peer-to-peer inovatoare între victimele infectate.
🕵️ Participarea statelor vestice la crearea și răspândirea virusului.
💡 A dus la creșterea animozității între Iran și Occident.
🚀 A marcat începutul unei noi ere a războiului digital.

Garis waktu

00:00:00 - 00:05:00
În timpul Războiului Rece a apărut doctrina echilibrului terorii, care a dus la acumularea de arme nucleare între SUA și URSS. Însă, o nouă formă de război a apărut folosind o armă invizibilă care poate bloca producția de arme nucleare: o armă cibernetică.
00:05:00 - 00:10:00
Documentarul necesită luni de muncă și este sponsorizat de Trade Republic. Povestea începe cu un virus detectat de Sergey Hulassen, un angajat al unei firme antivirus, pe calculatoarele unui client iranian. Analiza virusului dezvăluie complexitatea acestuia, atrăgând atenția companiei de securitate cibernetică Symantec.
00:10:00 - 00:15:00
Symantec descoperă că virusul, denumit Stuxnet, are un cod extrem de lung și complex. Acesta folosește tehnici sofisticate pentru a evita detectarea și analiza. Dezvăluirea scopului său devine o prioritate, mai ales când își face simțită prezența în întreaga lume.
00:15:00 - 00:20:00
Stuxnet este un malware avansat care folosește patru vulnerabilități zero-day, ceea ce dă naștere la suspiciuni despre originea sa, considerat a proveni fie de la un grup terorist, fie de la un stat. Particularitățile tehnice și economice susțin ipoteza unor resurse de stat.
00:20:00 - 00:25:00
Virusul folosește certificate Windows furate și aduce suspiciuni de infiltrare fizică. Stuxnet este capabil să manipuleze sistemele industriale prin PLC-uri, având o țintă precisă. Se suspectează că el vizează infrastructurile critice ale unei națiuni.
00:25:00 - 00:30:00
Analizele sugerează că Stuxnet țintește anumiți PLC-uri legați de îmbogățirea uraniului în Iran. Virusul poate să afecteze funcționarea normală a centrifugelor, să manipuleze rotația și să cauzeze daune structurale semnificative fără a fi detectat, fiind un instrument periculos de sabotaj.
00:30:00 - 00:35:00
Se descoperă că Stuxnet a fost folosit pentru a sabota centrala iraniană Natanz, afectând centrifugele de uraniu. Impactul său sugerează că o entitate cu resurse considerabile, probabil un stat, a orchestrat acest atac. Proiectul se numește Olympic Games și sugerează implicarea SUA, Marii Britanii și Israelului.
00:35:00 - 00:41:21
La final, se descoperă că o eroare de calculare a dus la o răspândire necontrolată a virusului, afectând chiar și calculatoarele aliaților. Dezvăluirea existenței Stuxnet a dus la întărirea capacităților cibernetice globale și a declanșat o nouă era în războiul cibernetic, fără reguli clare de control și reglementare.

Tampilkan lebih banyak

Peta Pikiran

Video Tanya Jawab

Ce este Stuxnet?
Stuxnet este un malware complex dezvoltat pentru a sabota programul nuclear iranian.
Care a fost scopul principal al lui Stuxnet?
Scopul principal al Stuxnet a fost de a sabota centrifugele din complexul de îmbogățire a uraniului din Natanz, Iran.
Cum se propagă Stuxnet?
Stuxnet se propagă prin rețele locale și dispozitive USB, utilizează diverse vulnerabilități de tip zero-day.
Cine sunt considerați a fi creatorii lui Stuxnet?
Se crede că creatorii Stuxnet sunt Statele Unite, Marea Britanie și Israel.
Ce este un atac zero-day?
Un atac zero-day exploatează o vulnerabilitate necunoscută anterior într-un software, fără ca dezvoltatorul să fi avut timp să o remedieze.
Cum funcționează mecanismul de propagare prin USB al Stuxnet?
Stuxnet infectează automat mașinile când se conectează un USB, exploatând o vulnerabilitate în fișierele shortcut LNK.
Cum a fost posibil ca Stuxnet să nu fie detectat inițial?
Stuxnet avea mecanisme avansate de camuflare, inclusiv manipularea datelor afișate către operatori prin software SCADA.
De ce este considerat Stuxnet o armă cibernetică?
Stuxnet este considerat o armă cibernetică deoarece avea potențialul de a produce daune fizice grave infrastructurilor nucleare.

Lihat lebih banyak ringkasan video

Dapatkan akses instan ke ringkasan video YouTube gratis yang didukung oleh AI!

Teks

Gulir Otomatis:

00:00:02
[Musique]
00:00:06
l'équilibre de la terreur est une
00:00:08
doctrine élaborée durant la Guerre
00:00:09
Froide amenant les États-Unis et l'URSS
00:00:12
à avoir suffisamment de bombes
00:00:13
nucléaires dans leur arsenal pour
00:00:15
assurer la destruction totale de leurs
00:00:21
ennemis cette arme était devenue
00:00:23
tellement puissante que le seul moyen de
00:00:25
gagner était de tout faire pour que
00:00:27
personne ne puisse jouer mais que se
00:00:29
passe seril si cette puissance de feu
00:00:31
pouvait être contrecarrée non pas par
00:00:33
une autre bombe mais par une arme
00:00:36
invisible silencieuse qui n'explose pas
00:00:38
qui ne fait pas de bruit et qui ne
00:00:40
laisse aucun indice mais qui s'insinue
00:00:42
lentement dans le cœur même des
00:00:44
installations les plus sensibles d'un
00:00:46
état jusqu'à lui faire arrêter la
00:00:48
production de la bombe
00:00:56
nucléaire cette arme a existé cette arme
00:00:59
a la donne et a ouvert la voix à une
00:01:02
nouvelle forme de guerre où les
00:01:03
batailles ne se livrent plus seulement
00:01:05
sur le terrain mais aussi dans les
00:01:07
méandres des infrastructure numérique
00:01:09
mondiale voici l'histoire du projet qui
00:01:11
a marqué le début d'une nouvelle ère le
00:01:14
projet olympique games
00:01:17
[Musique]
00:01:34
le documentaire que vous allez voir a
00:01:36
nécessité plusieurs mois de travail et
00:01:38
une équipe de quatre personnes si on
00:01:39
peut se le permettre c'est uniquement
00:01:41
grâce au soutien de partenaires long
00:01:42
terme comme trade republi si vous les
00:01:44
connaissez pas trade Republic c'est une
00:01:46
banque qui veut vous inciter à mettre de
00:01:48
l'argent de côté sans effort et qui
00:01:50
lutte contre les frais cachés qui soit
00:01:51
un peu le fléo de certaines banques
00:01:53
traditionnelles et de nombreux courtiers
00:01:55
leurs cartes bancaires n'ont pas de
00:01:56
frais récurrents et vous recevez 1 % de
00:01:59
saveback sur chaque achat votre argent
00:02:01
quant à lui qui dort sur votre compte
00:02:02
vous rapporte 3 % par an sans que vous
00:02:05
n'ayez rien à faire et si vous souhaitez
00:02:07
investir vous pouvez acheter des actions
00:02:09
obligations crypto ou ETF directement
00:02:12
dans leur application et ce à partir d'1
00:02:14
€ par mois et pour les fêes si vous
00:02:16
voulez faire un cadeau un peu original
00:02:17
qui dure vous pouvez même offrir une
00:02:19
action à un proche c'est original et
00:02:21
vous pouvez être sûr que ça finira pas
00:02:23
sur le bon coin en description vous
00:02:24
trouverez le lien pour vous créer un
00:02:25
compte ainsi qu'une interview de Mathias
00:02:27
que j'ai fait leur directeur Europe et
00:02:29
on reprend notre histoire commence en
00:02:32
Biélorussie le 17 juin 2010 avec un
00:02:35
employé d'une société d'antivirus Sergey
00:02:38
hulassen il a reçu une alerte d'un
00:02:41
client iranien concernant un virus qui
00:02:43
fait subitement s'éteindre leurs
00:02:46
ordinateur des virus Sergey il en voit
00:02:49
passer plein à longueur de journée mais
00:02:51
en se penchant sur celui-là il va
00:02:53
réaliser que ça n'est pas un programme
00:02:54
malveillant comme les autres non
00:02:57
seulement Sergey a peine à comprendre ce
00:02:59
que fait le virus mais surtout il semble
00:03:01
extrêmement sophistiqué ni une ni deux
00:03:04
il alerte le monde de la cybersécurité
00:03:06
en faisant un post sur le forum Wilder
00:03:09
security forums et le poste va
00:03:11
intéresser de nombreux passionnés du
00:03:13
domaine qui avec quelques inspections
00:03:15
vont catégoriser ce virus comme très
00:03:17
dangereux et ça ça va attirer
00:03:19
l'attention de pas mal de monde
00:03:21
notamment une entreprise qui va s'y
00:03:23
intéresser de près
00:03:26
simontech simontech c'est une entreprise
00:03:29
américaine de cybersécurité qui vous dit
00:03:31
probablement pas grand-chose mais que
00:03:33
vous connaissez très sûrement grâce à
00:03:34
leur produits phare norton
00:03:37
antivirus et évidemment pour vendre des
00:03:39
antivirus comme Norton il faut être au
00:03:41
courant des dernières menaces qui
00:03:43
existent et les comprendre pour pouvoir
00:03:44
les contrer chez simontech des attaques
00:03:47
des virus du code malveillant ils en
00:03:49
gèrent des millions par an donc pour les
00:03:51
meilleurs ingénieurs de la boîte il ne
00:03:52
leur suffit que de quelques minutes à
00:03:54
regarder le code d'un maloire pour
00:03:56
comprendre ce qu'il fait et comment il
00:03:58
procède sauf que là et ben ça n'est pas
00:04:00
le cas le virus est un enfer à
00:04:03
comprendre et ce pour deux raisons déjà
00:04:05
son code est extrêmement long bien plus
00:04:07
long que des virus habituels si les
00:04:09
Maloir que peuvent voir les ingénieurs
00:04:11
de chez simontech font autour des 8000
00:04:13
lignes de code ils estiment que celui-là
00:04:15
en a 150000 il est gigantesque mais en
00:04:18
plus et c'est ça qui le rend très dur à
00:04:20
comprendre il a une manière de
00:04:21
fonctionner très inattendue et pour
00:04:23
comprendre ça il faut déjà comprendre
00:04:25
comment on fait pour analyser le
00:04:27
fonctionnement d'un virus à l'origine un
00:04:30
virus comme tous les logiciels
00:04:32
disponibles sur un ordinateur a été
00:04:34
programmé par un humain il utilise pour
00:04:36
ça un langage de programmation proche de
00:04:38
l'anglais sauf que ce code très facile à
00:04:41
écrire et à lire pour n'importe quel
00:04:42
développeur n'est pas celui qui a envoyé
00:04:44
à la victime il est d'abord transformé
00:04:47
compilé dans une langue intermédiaire on
00:04:49
appelle cette langue intermédiaire du
00:04:51
code machine ou binaire car elle n'est
00:04:53
pas fait pour être lu par un humain mais
00:04:55
par le processeur de l'ordi donc si les
00:04:58
virus sont écrits dans un cood facile à
00:05:00
comprendre ce que reçoivent les
00:05:01
analystes cyber c'est toujours la
00:05:03
version compilée la liste d'instruction
00:05:05
pour le processeur absolument habitable
00:05:08
pour 99 % des humains les 1 % restants
00:05:11
ce sont des reverse ingéniers et à
00:05:13
l'époque simentech compte dans ses
00:05:15
équipes quelques-uns des meilleurs au
00:05:17
monde et c'est bien sûr à trois d'entre
00:05:19
eux qu'on va confier l'analyse de
00:05:21
l'étrange
00:05:22
fichier la première chose qu'ils vont
00:05:24
faire c'est d'utiliser un désassembleur
00:05:27
un programme qui peut coûter plusieurs
00:05:28
milliers d'euros et dont la mission est
00:05:30
de lire le code binaire du virus pour
00:05:32
retrouver le nom de chaque instruction
00:05:34
ensuite et ben il se remonte les manches
00:05:36
il navigue entre les variables les
00:05:38
registres les appels de fonction et ils
00:05:40
essayent de comprendre ce qui se passe
00:05:42
leur première observation c'est que deux
00:05:44
mots reviennent régulièrement dans le
00:05:45
code stub et xnet si ça ne sert à rien
00:05:48
pour l'instant ça donnera un nom auquel
00:05:50
ils pourront se référer pour parler du
00:05:53
virus
00:05:56
stocksnet leur deuxième observation est
00:05:59
stupéfiante Stuxnet ne ressemble à rien
00:06:01
de ce qu'ils ont jamais vu auparavant la
00:06:03
plupart des virus classiques se
00:06:05
ressemblent ils se volent des modules
00:06:06
entre eux ils utilisent des
00:06:08
bibliothèques de code partagé mais là
00:06:10
non quand les ingénieurs de simontech
00:06:12
commencent leur analyse ils découvrent
00:06:14
un véritable mur de code d'excellente
00:06:16
qualité et entièrement nouveau ils
00:06:19
reconnaissent partout des techniques
00:06:20
typiquement malveillantes root kit
00:06:22
persistant mise à jour du virus
00:06:24
injection de process dans des quantités
00:06:27
complètement astronomiques plus il
00:06:29
progresse dans l'analyse du binaire plus
00:06:31
les questions s'accumulent et plus il
00:06:33
réalisent que la tâche sera bien plus
00:06:36
difficile que prévue là où il leur faut
00:06:38
quelques heures pour analyser la plupart
00:06:39
des virus ils n'ont après plusieurs
00:06:41
jours qu'effleurer la surface du monstre
00:06:44
ils vont cependant être à même de
00:06:46
produire un ioci un indicateur de
00:06:48
compromission il s'agit d'une liste de
00:06:50
traces que le malouè laisse sur son
00:06:52
passage quand il infecte un système un
00:06:54
petit fichier qui permet aux sociétés
00:06:56
d'antivirus de pouvoir instantanément
00:06:58
détecter sa présence et suivre sa
00:07:00
propagation dans le temps et justement
00:07:02
ce moyen de détection va dévoiler
00:07:04
l'envergure du problème que pose
00:07:10
Stuxnet quelques semaines après sa
00:07:12
première apparition en Biélorussie ils
00:07:14
vont le retrouver dans des entreprise du
00:07:16
monde entier France Australie Singapour
00:07:18
Grande-Bretagne États-Unis le virus se
00:07:20
propage vite et on ne sait toujours pas
00:07:23
à quoi il sert ni ce dont il est capable
00:07:26
face à l'urgence il devient critique de
00:07:28
comprendre ce virus de lui faire cracher
00:07:31
ses secrets la tâche semble compliquée
00:07:33
mais pas impossible vu la portée
00:07:35
internationale du virus des hackurs du
00:07:37
monde entier sont sur le coup le jeu
00:07:39
c'est de trouver les lignes de code qui
00:07:41
rendent ce virus dangereux le code qui
00:07:43
permet de chiffrer vos documents de vous
00:07:45
demander une rançon ou de voler vos mot
00:07:47
de passe c'est la partie du virus qu'on
00:07:49
appelle la charge utile ou le payload il
00:07:51
est souvent caché par les pirates avec
00:07:53
une multitude de techniques de
00:07:55
chiffrement et d'obfuscation dans le cas
00:07:57
de stocknet il va se passer quelques
00:07:59
chose d'inattendu les chercheurs de
00:08:01
simontech vont bien trouver un payload
00:08:03
là n'est pas le problème mais comment
00:08:06
dire ils vont pas en trouver qu'un caché
00:08:08
dans les entrailles de ce gigantesque
00:08:10
binaire de 1,2 m se cache en fait 18
00:08:14
payload
00:08:18
différents c'est déjà particulièrement
00:08:20
étonnant mais il y a autre chose qui est
00:08:22
encore plus les virus ne sont pas tout à
00:08:24
fait des programmes comme les autres ils
00:08:26
doivent souvent effectuer des opérations
00:08:28
complexes pour masquer leur présence et
00:08:30
éviter d'être détecté et supprimé par
00:08:32
les antivirus ça implique typiquement
00:08:34
d'interagir avec les couches les plus
00:08:36
basses du système d'explloitation pour
00:08:38
écrire dans la mémoire modifier une
00:08:40
fonction de noyau ou exploiter une
00:08:42
vulnérabilité c'est un peu comme jouer
00:08:44
avec de la dynamite tout doit être
00:08:47
millimétré
00:08:51
sinon ce qui fait que quasiment tous les
00:08:54
virus ont des bugs le pirate n'a pas
00:08:56
prévu telle version de Windows ou telle
00:08:58
configure durtion qui fait tout planter
00:09:01
ce qui est extrêmement troublant avec
00:09:03
stocknet c'est que malgré sa taille 20
00:09:06
fois celle d'un maloware normal le
00:09:08
programme n'a pas de bug son créateur a
00:09:11
conçu le malware parfait son créateur a
00:09:15
conçu une arme
00:09:19
chirurgicale il aura fallu un mois
00:09:22
complet de travail àcharné où Nicolas
00:09:24
Liam et Eric passeront des nuits
00:09:26
blanches à se casser la tête sur les
00:09:27
énigmes de stuxcknet pour que le
00:09:29
brouillard commence enfin à se dissiper
00:09:32
et plus le brouillard se dissipe plus
00:09:33
nos chercheurs réalisent que le petit
00:09:35
fichier qu'ils ont entre les mains et à
00:09:37
la fois une merveille d'ingénierie et le
00:09:39
programme le plus dangereux qu'ils aient
00:09:42
jamais observé déjà Stuxnet n'est pas un
00:09:45
virus c'est un verre informatique là où
00:09:48
le virus exploite une erreur humaine un
00:09:50
clic sur une pièce jointe une fausse
00:09:51
mise à jour le verre exploite une erreur
00:09:54
système un bug laissé là par les
00:09:55
développeurs de Windows ou MacOS que les
00:09:57
hackeerss peuvent exploiter parmi toutes
00:09:59
ces failles la pire c'est la zer day une
00:10:02
faille que le pirate est le seul à
00:10:03
connaître qui lui confère donc le
00:10:05
pouvoir ultime de s'infiltrer partout
00:10:07
zéro dayil car les victimes bénéficient
00:10:10
de zéro jours de protection ces failles
00:10:12
sont très rares s Monch n'en découvre
00:10:14
dans des malowir qu'une dizaine par an
00:10:16
et surtout elles ont énormément de
00:10:18
valeur sur les marchés noirs elles se
00:10:20
vendent chacune des centaines de
00:10:22
milliers
00:10:23
d'euros et ben dans stocknet les
00:10:26
chercheurs ne vont pas découvrir une
00:10:27
faille zer ils vont en découvrir ouvrir
00:10:30
qu quatre failles critiques inconnues
00:10:34
c'est plus que tous les logiciels
00:10:35
malveillants avant lui et depuis ce jour
00:10:38
ça n'a jamais été observé à nouveau
00:10:40
outre le temps et le talent nécessaire
00:10:42
pour en trouver autant et c'est surtout
00:10:44
l'équation économique qui est étrange
00:10:46
les rares fois où on a découvert de
00:10:47
telles failles dans un verre elles
00:10:49
étaient rentabilisées par des rançons ou
00:10:51
des vols massifs de cartes de crédit là
00:10:54
les créateurs de stocksnet ont
00:10:55
probablement brûlé plus d'un million de
00:10:57
dollars et on a aucune idée de pourquoi
00:11:00
et ça n'est pas tout pour pouvoir se
00:11:01
dissimuler dans les couches les plus
00:11:03
basses du système le virus utilise deux
00:11:06
certificats Windows volé et ça c'est
00:11:08
troublant un certificat c'est comme un
00:11:10
passeport les autorités de certification
00:11:13
les décernent avec la plus grande
00:11:14
prudence notamment aux entreprises qui
00:11:16
développent des drivers car qui possède
00:11:19
un certificat légitime peut installer un
00:11:21
faux driver dans votre PC sans éveiller
00:11:24
les soupçons de votre antivirus un
00:11:25
driver avec les plus hauts niveaux de
00:11:28
privilège en bre le root kit persistant
00:11:31
parfait donc ces entreprises cachent et
00:11:33
protègent leur certificat et visiblement
00:11:35
elles le font bien car avant stocknet
00:11:37
aucun vol de ce type n'avait jamais été
00:11:42
observé les certificats trouvés sur le
00:11:44
virus semblent provenir de deux
00:11:46
entreprises taiwanaises realiltech et j
00:11:49
Micron
00:11:51
Technology deux entreprises qui
00:11:53
conçoivent des circuits intégrés et qui
00:11:55
à première vue ne semblent rien avoir en
00:11:57
commun un détail près leurs locaux à
00:11:59
Taiwan sont situés dans le même
00:12:03
bâtiment c'est ce détail en particulier
00:12:06
qui va transformer l'affaire en crise
00:12:08
diplomatique car un certificat ça ne
00:12:10
traîne pas sur une pauvre machine
00:12:11
connectée à Internet c'est souvent
00:12:13
protégé par mot de passe et par
00:12:14
biométrie avec des empreintes de
00:12:16
plusieurs personnes aussi
00:12:18
invraisemblable que ça puisse paraître
00:12:19
l'explication la plus sensée à ce double
00:12:21
vol est une opération d'infiltration
00:12:24
physique ou le recrutement d'une source
00:12:26
tout en haut de la hiérarchie donc si on
00:12:29
sa pas encore ce que fait Stuxnet on
00:12:30
sait autre chose il ne provient ni d'un
00:12:33
simple pirate ni même d'un groupe
00:12:35
criminel ordinaire mais d'une entité
00:12:37
beaucoup plus puissante un expert de
00:12:39
fseure dira à ce propos il y a deux
00:12:42
pistes un groupe terroriste ou un état
00:12:45
or nous ne pensons pas qu'un groupe
00:12:47
terroriste dispose de telles
00:12:50
[Musique]
00:12:52
ressources dire qu'on ne sait pas ce que
00:12:54
fait stocknet n'est pas tout à fait
00:12:55
exact en examinant les pelodes les
00:12:57
chercheurs ont fait un certain un nombre
00:12:59
de trouvailles qu'ils ont documenté dans
00:13:01
un gros dossier aussi exhaustif que
00:13:03
passionnant ce qu'on y apprend c'est que
00:13:05
stocksnet est en fait un véhicule à
00:13:07
trois têtes chacune servant un objectif
00:13:09
précis la première la persistance fait
00:13:12
honneur à son nom une fois qu'il infecte
00:13:14
un ordinateur il s'y installe
00:13:16
définitivement résistant même au
00:13:18
redémarrage la deuxième la propagation
00:13:21
lui permet de se répandre de deux
00:13:22
manières soit en circulant à travers le
00:13:24
réseau soit en passant d'une clé USB à
00:13:27
l'autre et la dernière tête le contrôle
00:13:29
à distance relie toutes les machines
00:13:31
infectées à des serveurs de commandement
00:13:34
ce véhicule de transport très élaboré
00:13:37
pourrait théoriquement accepter
00:13:38
n'importe quel cargaison en pratique le
00:13:41
design de l'engin semble
00:13:43
particulièrement adapté à un type
00:13:44
d'attaque
00:13:47
spécifique quand il est exécuté pour la
00:13:49
première fois stocksnet se retrouve
00:13:51
confronté à deux problèmes sa capacité
00:13:53
d'action est limitée car il n'est pas
00:13:55
administrateur de la machine et il doit
00:13:57
faire très attention à ne pas éveiller
00:13:59
les soupçons de l'antivirus pour
00:14:01
répondre à ça il va réaliser ce qu'on
00:14:03
appelle une élévation de privilège une
00:14:06
technique permettant au malouir de
00:14:07
s'extraire de sa cage virtuelle pour
00:14:09
acquérir un statut privilégié une
00:14:11
technique pour obtenir les pleins
00:14:13
pouvoirs sur le système parmi ces quatre
00:14:15
failles zero days deux sont utilisés à
00:14:17
cette étape pour réaliser cette
00:14:19
élévation ça n'est pas forcément la
00:14:21
partie la plus spectaculaire de nombreux
00:14:23
malware en sont capables et Windows est
00:14:26
connu pour avoir un historique
00:14:28
catastrophique de faill de ce typeel ce
00:14:30
qu'il est plus c'est la manière dont les
00:14:32
créateurs de stocknet utilisent ses
00:14:34
vulnérabilités à l'issue d'une élévation
00:14:36
de privilège il est courant de cacher sa
00:14:38
présence en réalisant une injection de
00:14:40
process on se dissimule dans un autre
00:14:42
programme administrateur pour ne pas
00:14:44
attirer l'attention comme un passager
00:14:47
clandestin Stuxnet en l'occurrence ne
00:14:50
choisit pas cette destination au hasard
00:14:53
il va examiner la machine de sa victime
00:14:55
à la recherche d'une solution de
00:14:56
sécurité en particulier il va regarder
00:14:59
si un antivirus est en cours d'exécution
00:15:01
si stocksnet en détecte un il s'adapte
00:15:04
et choisit dans un tableau sa cible
00:15:06
idéale dans certains cas très rares il
00:15:08
peut conclure que l'injection est
00:15:10
impossible et s'arrête dans d'autres il
00:15:12
décide de cibler l'antivirus lui-même ce
00:15:15
qui est frappant c'est surtout la
00:15:16
connaissance très fine que les équipes
00:15:18
d'Olympic Games semblent avoir de chaque
00:15:20
scénario une telle précision a dû
00:15:23
nécessité des batteries de test
00:15:24
interminaable pour anticiper tout ce qui
00:15:26
pouvait mal tourner une fois maître du
00:15:28
terrain Stuxnet peut s'installer
00:15:30
définitivement au cœur du système comme
00:15:32
un driver avec ses certificats volés il
00:15:35
s'assure une position persistante et
00:15:37
discrète d'où il pourra mettre en place
00:15:39
son système de
00:15:41
[Musique]
00:15:42
propagation stocknet est contagieux
00:15:45
extrêmement contagieux même il utilise
00:15:47
pas moins de se méthodes différentes
00:15:49
pour se propager dont deux sont des
00:15:51
failles zer days celles-ci permettent
00:15:53
d'attaquer des machines qui sont
00:15:55
accessibles par le réseau via leur
00:15:57
servicees d'imprimante des dossier
00:15:59
partagé ou des bases de données pour
00:16:01
faire simple si stocksnet est introduit
00:16:02
dans un réseau LAN à peu près toutes les
00:16:05
machines du réseau seront compromise
00:16:07
automatiquement et ça n'est pas tout il
00:16:09
emploie aussi une autre faille que
00:16:10
personne ne connaissait et qui est
00:16:12
particulièrement étrange elle permet au
00:16:15
malware de s'exécuter automatiquement au
00:16:17
branchement d'une clé USB infectée
00:16:19
l'origine de cette faille c'est un bug
00:16:22
dans un type de fichier apparemment
00:16:23
inoffensif et dont l'extension ne vous
00:16:25
dit peut-être rien LNK ce sont des
00:16:28
raccourci Windows qu'on trouve souvent
00:16:30
sur le bureau de son ordinateur en fait
00:16:32
à l'époque la gestion des icônes de ces
00:16:34
raccourcis était buggé et les pirates
00:16:37
ont réussi à concevoir un fichier LNK
00:16:39
mal formé qui exploite cette anomalie
00:16:42
placé sur une clé USB à côté d'un
00:16:44
fichier malveillant il permet de prendre
00:16:46
le contrôle de la machine au moment où
00:16:48
la clé est branchée un processus de
00:16:49
Windows va vouloir charger les icônes
00:16:52
sauf que à la place il exécute stuxsnet
00:16:55
l'action est totalement invisible et
00:16:57
dure une action de seconde une fois le
00:17:00
module de persistance installé il se met
00:17:02
lui aussi à attendre qu'une nouvelle clé
00:17:04
soit branchée pour y placer une copie du
00:17:06
verre et ainsi de suite c'est brillant
00:17:10
mais un problème subsiste les fichiers
00:17:12
sur la clé USB on peut les voir et avec
00:17:14
leur nom bizarre on peut s'imaginer
00:17:16
qu'il trahiraient rapidement l'attaque
00:17:18
or ces fichiers doivent être présents il
00:17:21
n'y a pas d'alternative alors les
00:17:22
créateurs de stuxsnet ont imaginé un
00:17:24
tour de pres digitation à défaut de
00:17:27
faire disparaître les fichiers ils vont
00:17:29
les faire disparaître de l'interface
00:17:31
pour ça ils vont altérer des fonctions
00:17:33
au cœur même de Windows des fonctions
00:17:36
dans les rouage du système qui
00:17:38
permettent de chercher et de lister des
00:17:40
fichiers la toute première chose que
00:17:41
fait stocknet c'est de les remplacer par
00:17:44
des clone légèrement modifié ces
00:17:46
fonctions clonées ont en supplément une
00:17:48
liste de documents compromettants à
00:17:50
omettre de sorte que lors d'un double
00:17:52
clic sur la clé USB l'explorateur de
00:17:54
fichier ne se rend même pas compte que
00:17:56
le noyau lui-même est en train de lu lui
00:17:59
mentir et affiche un dossier
00:18:01
vide pour les chercheurs cette
00:18:04
propagation par voie physique a quelque
00:18:06
chose d'intriguant si la propagation par
00:18:08
USB a connu son âge d'or au début des
00:18:10
années 2000 les temps ont changé à
00:18:12
l'époque Windows proposait une fonction
00:18:14
autorun qui permettait de lancer un
00:18:16
programme automatiquement sur un support
00:18:19
USB mais depuis 2009 en voyant les
00:18:21
dégâts microsoft l'a désactivé et les
00:18:24
ver informatiques se propagent
00:18:25
principalement par Internet en fait le
00:18:28
fait que net adopte une telle stratégie
00:18:30
ne peut signifier qu'une chose il
00:18:33
cherche une cible particulière un type
00:18:35
d'ordinateur qui n'est pas connecté à
00:18:37
internet c'est souvent le cas de
00:18:39
machines particulièrement sensibles dans
00:18:41
l'industrie ou la défense on les place
00:18:43
dans des réseaux hermétique isolé
00:18:45
d'Internet pour rendre toute attaque à
00:18:47
distance impossible le défi avec ce type
00:18:50
d'attaque c'est l'isolement total du
00:18:52
malware une fois largué derrière les
00:18:54
lignes ennemies plus aucun contrôle
00:18:57
possible plus aucune mise à jour la
00:18:59
moindre évolution de Windows ou d'un
00:19:01
antivirus peut réduire l'opération à
00:19:03
néant mais ici encore le projet
00:19:05
olympicque Games cache une
00:19:08
surprise déjà comme beaucoup de malware
00:19:10
Stuxnet a la capacité de communiquer
00:19:12
avec des serveurs de contrôle sur
00:19:14
Internet
00:19:15
mypremierfootball.com et
00:19:19
todaysfootball.com ces derniers sont
00:19:21
situés en Malaisie et au Danemark et il
00:19:23
recevait des informations sur chaque
00:19:25
nouvelle victime contaminée en retour il
00:19:27
pouvait déclencher différentes actions
00:19:29
faire des mises à jour exécuter du code
00:19:32
à distance et cetera ça encore c'est
00:19:34
assez classique ce qu'il est beaucoup
00:19:36
moins c'est le système de communication
00:19:38
de paire à paire entre les victimes
00:19:40
chaque ordi contrôlé par stocknet peut
00:19:42
en fait lui-même se comporter comme un
00:19:44
serveur de contrôle s'il découvre
00:19:46
d'autres machines infectées situées dans
00:19:48
le même réseau il va rentrer en
00:19:50
communication avec elle l'intérêt c'est
00:19:52
en particulier de pouvoir faire des
00:19:54
mises à jour sans internet les deux
00:19:56
machines vont comparer leur numéro de
00:19:57
version et se mettre à jour
00:19:59
automatiquement grâce à ce système même
00:20:01
dans un réseau hors ligne il suffit d'un
00:20:03
seul appareil connecté à Internet pour
00:20:06
actualiser l'ensemble du parc les
00:20:08
chercheurs de cimentech découvrent un
00:20:10
virus d'une rare sophistication
00:20:12
contagieux et capable de s'adapter pour
00:20:15
survivre ils doivent agir vite en
00:20:17
prenant le contrôle des non domomaines
00:20:18
ils parviennent à rediriger le trafic
00:20:20
qui s'y rend ça leur permet de les
00:20:22
rendre inoffensifs de prévenir les
00:20:24
victimes en temps réel et enfin de
00:20:26
monitorer précisément le ampleur des
00:20:29
dégâts chaque petite requette qu'il
00:20:30
reçoivent sur ses URL est une machine
00:20:33
dormante dans une maison ou un bureau
00:20:35
qui n'a sûrement aucune idée de la
00:20:37
menace qu'elleabrite et de telle machine
00:20:39
après 3 mois d'analyse cimenteek va en
00:20:42
détecter
00:20:45
100000 mais à quoi pouvait bien servir
00:20:48
Stuxnet en juillet 2010 après 3 mois
00:20:51
d'investigation saantec n'en sait
00:20:53
toujours rien un verre ultraoderne
00:20:55
commandité en hautlieu a condaminé
00:20:58
100000 000 machines avec 14 payload mais
00:21:00
on ne sait toujours pas ce qu'il fait
00:21:02
aux entreprises paniquées et au
00:21:03
gouvernement qui s'inquiètent des
00:21:04
conséquences de l'attaque il répondent
00:21:07
nous ne savons pas parce que Stuxnet ne
00:21:10
s'active pas tout seul pour une raison
00:21:12
surprenante le virus fait beaucoup de
00:21:14
vérification et si l'une d'elle n'est
00:21:15
pas validée il reste inerte et ça c'est
00:21:18
pas normal un virus classique ça ne
00:21:20
vérifie quasiment rien et ça tente
00:21:22
d'infecter sans distinction un maximum
00:21:24
de machines mais ça n'est pas le cas de
00:21:26
Stuxnet le virus vérifie sur quel
00:21:28
ordinateur il est tombé et si un critère
00:21:31
n'est pas validé il restera dormant et
00:21:33
se contentera de contaminer d'autres
00:21:35
autres le but maintenant pour simontech
00:21:37
va être de comprendre pourquoi ces
00:21:39
vérifications existent et rien qu'and
00:21:41
les étudiants ils vont en tirer des
00:21:43
indices décisifs dès son arrivée dans un
00:21:46
nouvel Hute Stuxnet vérifie si
00:21:48
l'ordinateur en question est sous une
00:21:50
version spécifique de Windows sinon il
00:21:52
ne s'active pas ensuite il va vérifier
00:21:55
si un certain mot de passe existe dans
00:21:57
le registre si c'est le cas il s'arrête
00:21:59
aussitôt on suppose que c'est un court
00:22:01
circuit un moyen courant pour les
00:22:03
pirates de ne pas infecter leur propre
00:22:05
machine par erreur sauf que ce mot de
00:22:08
passe ressemble à une date le 9 mai 1979
00:22:12
et le 9 mai 1979 c'est l'exécution de
00:22:16
Habib El ganian première victime juive
00:22:19
du régime islamique iranien son
00:22:21
exécution poussera 100000 juif à fuir le
00:22:23
pays c'est peut-être une coïncidence ou
00:22:25
un leure ou peut-être pas à partir
00:22:28
partir de là stocknet cherche des
00:22:30
programmes bien spécifiques des
00:22:32
logiciels de Siemens ce sont des
00:22:34
logiciels très particuliers qui
00:22:36
permettent d'automatiser et de
00:22:38
surveiller des machines industrielles et
00:22:40
ça concerne de nombreux domaines
00:22:42
aéronautique santé transport central
00:22:44
électrique Stuxnet ne s'active que sur
00:22:47
des ordinateurs qui appartiennent aux
00:22:49
industries les plus sensibles d'une
00:22:53
nation Stuxnet ajoute ensuite un autre
00:22:56
critère encore plus sélectif il il faut
00:22:58
que l'ordinateur contrôle des PLC un
00:23:01
programmable logic controller ou PLC
00:23:03
c'est un petit boîtier programmable qui
00:23:05
permet de contrôler et de surveiller des
00:23:08
machines industrielles régler la
00:23:10
température d'un four monitorer la
00:23:12
vitesse de rotation d'une turbine
00:23:13
piloter un bras robotique c'est à ça que
00:23:16
servent les PLC pour un virus la cible
00:23:19
est déjà d'une précision troublante mais
00:23:20
ça n'est pas tout Stuxnet ne se
00:23:22
déclenche qu'en présence d'une
00:23:24
configuration très spécifique exactement
00:23:27
six groupes de 164 PLC si ce nombre
00:23:30
précis n'est pas atteint le virus reste
00:23:32
inerte enfin stocknet finit par une
00:23:35
dernière vérification extrêmement
00:23:37
déroutante tenez-vous bien si le virus
00:23:39
n'atteint pas sa cible avant le 24 juin
00:23:42
2012 il doit
00:23:46
s'autodétruire plus on en apprend sur le
00:23:48
virus plus on réalise la gravité de la
00:23:50
situation on se rend compte que le virus
00:23:52
a une réelle mission qui semble
00:23:53
concerner un domaine sensible mais
00:23:55
encore inconnu et il doit l'effectuer
00:23:57
avant une une certaine date sinon il
00:24:00
s'autodétruira ce qui n'existe pas un
00:24:03
virus n'a normalement pas de mission
00:24:05
aussi particulière et surtout pas dans
00:24:07
un temps donné la seule information
00:24:09
qu'on a c'est que quelque part un
00:24:11
certain groupe de hackeurs étatiques a
00:24:13
investi des dizaines de milliers
00:24:14
d'heures de travail un arsenal de faille
00:24:17
critique sans précédent et des missions
00:24:19
d'infiltration physique pour prendre le
00:24:21
contrôle de petits boîtiers industriel
00:24:23
et pas tous les boîtiers uniquement six
00:24:26
groupes de 164 boîtier mais alors quelle
00:24:30
est la cible pour le savoir il peut-être
00:24:33
intéressant de regarder d'où la
00:24:35
propagation a commencé quel est le foyer
00:24:37
de l'épidémie les ordinateurs du monde
00:24:39
entier ont beau avoir été infectés par
00:24:41
Stuxnet il y a un pays qui se débarque
00:24:43
très clairement des autres le pays
00:24:45
duquel l'épidémie est probablement
00:24:49
parti le pays qui devait être la cible
00:24:51
des ingénieur derrière l'opération
00:24:57
[Musique]
00:25:04
l'Iran nous sommes en novembre 2010
00:25:07
quasiment 6 mois dans l'enquête et
00:25:09
simontech est dans une impasse ils ont
00:25:11
compris que stocknet cible des PLC
00:25:13
probablement en Iran mais il manque
00:25:16
toujours la clé de ce mystère à quoi
00:25:18
sert-il exactement jusque là c'est
00:25:20
encore une boîte noire un danger dormant
00:25:23
il tente de recréer artificiellement les
00:25:25
conditions pour que stocknet s'active
00:25:27
pour l' analisé mais sans succès alors
00:25:30
ils partagent leurs différentes avancées
00:25:32
sur les forums et les réseaux de
00:25:33
cybersécurité du monde entier quand un
00:25:36
beau jour depuis les Pays-Bas un expert
00:25:38
en système de contrôle industriel va
00:25:41
débloquer l'enquête dans leur recherche
00:25:42
les chercheurs de simontech étaient
00:25:44
tombé de nombreuses fois sur une valeur
00:25:46
cette valeur elle apparaît comme ça dans
00:25:48
une vérification mais elle n'est liée à
00:25:50
rien c'est ce qu'on appelle un Magic
00:25:52
number un nombre qui paraît tomber du
00:25:54
ciel sauf que ce que cet utilisateur
00:25:56
néerlandais découvre c'est que ce Magic
00:25:59
number ne tombe pas du ciel il permet de
00:26:01
vérifier l'identifiant du boîtier
00:26:04
industriel les boîtiers de contrôle
00:26:05
existent en de nombreuses variantes
00:26:07
chacun avec sa fonction spécifique
00:26:09
stuxsnet ne s'intéressait qu'à un seul
00:26:12
modèle identifiable par un numéro unique
00:26:14
un contrôleur de fréquence et le
00:26:17
contrôleur en question est fabriqué par
00:26:19
un industriel iranien qui fournit des
00:26:23
usines d'enrichissement d'uranium en
00:26:25
Iran elle est là la preuve que n veut
00:26:29
attaquer
00:26:30
l'Iran en fait depuis quelques années le
00:26:32
programme nucléaire iranien suscite
00:26:34
l'hostilité de tous les pays occidentaux
00:26:37
explosion inexpliqué de gazoduc sanction
00:26:39
économique assassinat d'ingénieur du
00:26:47
nucléaire ce programme a une histoire
00:26:49
particulière lancé dans les années 70
00:26:51
avec l'aide des États-Unis il est
00:26:53
brutalement interrompu par la Révolution
00:26:55
islamique quand il refait surface dans
00:26:57
les années 2000 cette fois avec le
00:26:58
soutien de la Russie une question
00:27:00
inquiète tout le monde l'Iran
00:27:02
cherche-t-il à construire des centrales
00:27:04
électriques ou des bombes atomiques pour
00:27:06
vous ce serait normal pour l'Allemagne
00:27:08
fédérale ce serait normal pour
00:27:09
l'Angleterre ce serait normal et pour
00:27:11
l'Iran le simple principe de se défendre
00:27:14
ou de défendre ses intérêts devient un
00:27:16
problème et que pour les autres c'est
00:27:17
tout à fait normal au cœur de cette
00:27:19
inquiétude se trouve le processus
00:27:21
d'enrichissement de l'uranium l'étape
00:27:23
cruciale qui permet de transformer
00:27:24
l'uranium en combustible que ce soit
00:27:27
pour produire de l'énergie ou des armes
00:27:29
nucléaires c'est pas une étape facile
00:27:30
parce que à l'état naturel l'uranium
00:27:32
contient principalement deux isotopes
00:27:34
l'uranium 238 et l'uranium 235 seul le
00:27:38
second est utilisable pour la réaction
00:27:40
nucléaire on dit qu'il est ficile pour
00:27:42
séparer les deux et augmenter la
00:27:44
concentration d'uranium fissile on va
00:27:46
les faire passer dans des centrifugeuses
00:27:48
qui tournent très vite à plus de 1000
00:27:50
tours à la seconde l'uranium 235 plus
00:27:52
léger va rester près du centre tandis
00:27:54
que l'autre type d'uranium qui est plus
00:27:56
lourd va être éjecté vers l'extérieur
00:27:59
comme dans une essoreuse à salade on
00:28:00
répète cette opération un très grand
00:28:02
nombre de fois avec plein de
00:28:03
centrifugeuses afin d'enrichir l'uranium
00:28:06
au maximum maintenant si on s'intéresse
00:28:08
aux capacités d'enrichissement iranienne
00:28:10
ils ont créé un méga complexe qui
00:28:12
s'appelle l'usine de natthans et qui
00:28:14
utilise pas moins de 164 centrifugeuses
00:28:18
il y en a six groupes chacune de ces
00:28:20
centrifugeuses est contrôlée par un
00:28:22
boîtier il y a donc six groupes de 164
00:28:26
boîtiers c'est ça que stock essaie
00:28:28
d'attaquer les centrifugeuses du
00:28:30
complexe d'enrichissement d'uranium de
00:28:32
Nathans en
00:28:40
[Musique]
00:28:45
Iran alors imaginons que stocksnet
00:28:48
parvienne effectivement à atteindre
00:28:50
natans il reste une question qui ne va
00:28:52
absolument pas de soi qu'est-il possible
00:28:54
de faire en contrôlant des
00:28:56
centrifugeuses les empêcher de
00:28:58
comment un logiciel qui contrôle des PLC
00:29:01
peut-il nuire à une usine
00:29:02
d'enrichissement en uranium pour le
00:29:04
savoir simentex s procurer le même
00:29:06
modèle de contrôleur de fréquence
00:29:08
utilisé par l'usine de Nathans ils ont
00:29:11
connecté le contrôleur à un petit
00:29:12
ventilateur qui va juste gonfler un
00:29:15
ballon rien à voir avec l'enrichissement
00:29:16
d'uranium mais c'est simplement pour
00:29:18
comprendre le fonctionnement du
00:29:20
contrôleur de fréquence il le programme
00:29:22
pour que il gonfle le ballon pendant 5
00:29:24
secondes et le ballon gonfle
00:29:29
et s'arrête le contrôleur donne des
00:29:31
mesures cohérentes jusqu'ici tout va
00:29:33
bien c'est dans la deuxième partie de
00:29:35
l'expérience que ça devient
00:29:38
intéressant et là le ballon
00:29:43
gonfle
00:29:45
gonfle SAF qu'après 5 secondes le ballon
00:29:48
continue de gonfler jusqu'à ce
00:29:52
que le ballon explose plus bouleversant
00:29:55
encore les mesures affiché par ôur reste
00:29:59
les mêmes que lors de l'essai précédent
00:30:01
maintenant sortons du cadre de
00:30:03
l'expérience avec le ballon et imaginez
00:30:05
ce que ça pourrait faire à des
00:30:07
centrifugeuses remplies
00:30:09
d'uranium ce que les ingénieurs ont
00:30:11
découvert avec Stuxnet c'est un virus
00:30:13
capable de créer pour la première fois
00:30:15
des dégâts physiques c'est la première
00:30:17
démonstration d'une attaque informatique
00:30:19
qui en ciblant de l'équipement
00:30:21
industriel pourrait théoriquement causer
00:30:24
la mort automatiquement ce qu'ils ont
00:30:27
découvert c'est la première
00:30:31
cyberarme il faut réaliser le poids de
00:30:33
cette découverte en particulier dans le
00:30:36
contexte de cette époque avant 2010 la
00:30:38
plupart des attaques informatiques sont
00:30:40
issues de pirates solitaires ou de
00:30:42
groupes cybercriminels ils ne sont ni
00:30:44
très sophistiqué ni très organisé et
00:30:46
leur motivation est quasi exclusivement
00:30:48
de gagner de l'argent l'idée qu'un État
00:30:51
puisse orchestrer une attaque
00:30:52
informatique ne va pas du tout de soi
00:30:54
alors qu'un État a développé lui-même un
00:30:56
malware pour attaquer une infrastructure
00:30:59
nucléaire ça fait beaucoup ça explique
00:31:01
pourquoi au moment où simonch publie ses
00:31:03
conclusions certains journalistes n'y
00:31:05
croient pas le mythe de la cybergerre
00:31:07
mondiale une affaire trop belle pour
00:31:09
être vrai un fantasme du complot et on
00:31:12
peut comprendre ces doutes si on suppose
00:31:14
que Stuxnet peut saboter des
00:31:15
centrifugeuses une question cruciale
00:31:17
reste sans réponse comment est-il entré
00:31:20
dans la centrale Nathans n'est pas une
00:31:22
simple usine c'est une forteresse
00:31:24
moderne un site militaire ultra protégé
00:31:26
coupé d'Internet gardé par l'artillerie
00:31:29
et l'aviation rien n'y entre par hasard
00:31:31
chaque badge chaque visiteur chaque
00:31:33
colis est contrôlé vérifié authentifié
00:31:36
les chercheurs seraient peut-être restés
00:31:38
dans l'impasse si le virus lui-même ne
00:31:40
leur avait pas livré un indice crucial
00:31:43
il contenait un système
00:31:46
d'historique ce que les chercheurs ont
00:31:48
découvert dans stocksnet c'est un
00:31:50
journal de bord un fichier de log
00:31:51
chiffré dans lequel le virus écrit ses
00:31:54
moindres faits et gestes ce fichier il
00:31:56
le transporte avec lui quand il se dép
00:31:57
place de victime en victime s'il tombe
00:31:59
sur un ordinateur déjà infecté il
00:32:01
remplace son fichier de log pour qu'il
00:32:03
soit le plus à jour possible ce fichier
00:32:05
décrit avec une grande précision la
00:32:07
chronologie des infections d'une souche
00:32:10
le chemin exact par lequel elle est
00:32:11
passée c'est une véritable mine d'or
00:32:14
d'information et la bonne nouvelle c'est
00:32:15
que les ingénieurs de chez simonch vont
00:32:18
réussir à décrypter ces fichiers de log
00:32:20
avec les millions d'échantillons de
00:32:21
stocks net qu'ils ont récupéré autour du
00:32:23
monde ça va leur donner une matière
00:32:25
formidable pour mieux analyser et
00:32:27
comprendre l'histoire du virus par
00:32:30
exemple ce que vous voyez là c'est
00:32:32
l'histoire d'une souche chaque nœud du
00:32:34
grap est une victime les lignes droites
00:32:37
correspondent à des lanes où chacune des
00:32:39
machines ont été contaminées jusqu'à ce
00:32:41
que le verre parvienne à atteindre un
00:32:44
autre réseau et ce qui est bien avec ce
00:32:46
graphhe c'est que d'où qu'on parte si on
00:32:48
remonte le fil on tombe sur un même nœud
00:32:51
le patient zéro la première machine
00:32:54
infectée par Stuxnet le 23 juin 2009 à à
00:32:57
4h40 ce qui est dingue c'est que on a
00:33:00
aussi la date où l'échantillon a été
00:33:01
créé et entre le moment où le
00:33:03
développeur de stocksnet a cliqué sur
00:33:05
compilé et le moment de l'infection
00:33:07
originelle il s'est produit seulement
00:33:09
12h en combinant les graphes de tous les
00:33:11
échantillons saantech va en fait arriver
00:33:13
à la conclusion qu'il n'y a pas
00:33:15
exactement un patient zéro mais qu'il y
00:33:17
en a CQ cinq ordinateurs qui n'ont pu
00:33:19
être infectés que d'une seule manière
00:33:21
volontairement parce qu'évidemment
00:33:23
l'usine ne peut pas tourner sans
00:33:25
matériaux ni mise à jour du code pour
00:33:26
faire fonctionner leur centre réfugieuse
00:33:28
le plan c'était probablement qu'en
00:33:29
infectant les fournisseurs on finirait
00:33:31
forcément par infecter l'ordinateur
00:33:33
responsable des mises à jour de l'usine
00:33:35
la mise à jour serait ensuite
00:33:37
transportée par une clé USB qui elle
00:33:39
aussi serait instantanément infectée
00:33:41
puis passerait toutes les sécurités de
00:33:42
l'usine physique et virtuel
00:33:44
contaminerait les réseaux de l'usine
00:33:46
pour enfin atteindre la cible finale
00:33:48
l'ordinateur de contrôle des
00:33:51
centrifugeuses plan magnifique mais à ce
00:33:54
stade de l'histoire si vous avez déjà
00:33:56
travaillé dans le nucléaire quel quelque
00:33:58
chose devrait sérieusement vous chionner
00:34:00
dans ces usines on manipule de l'uranium
00:34:02
à très grande vitesse sans même imaginer
00:34:04
l'hypothèse d'un virus c'est un
00:34:06
processus hautement périeux qui justifie
00:34:08
d'avoir des plans de secours des gardde
00:34:11
fous pour réagir aux incidents dans la
00:34:13
salle de contrôle des opérateurs
00:34:14
iraniens veillent constamment pour
00:34:16
détecter la moindre anomalie grâce à des
00:34:18
écrans de monitoring ils suivent en
00:34:20
temps réel les données des centrifugeuse
00:34:22
reçu par le logiciel SCADA si le moindre
00:34:25
problème apparaît ils ont un bouton
00:34:27
d'arrêt du d'urgence qui permet de tout
00:34:29
interrompre avant que le matériel soit
00:34:31
endommagé donc quand bien même le
00:34:32
maloire parviendrait à atteindre les
00:34:34
centrifugeuses il n ferait pas long feu
00:34:36
mais il semblerait que les cerveaux de
00:34:38
l'opération ai trouvé un moyen
00:34:40
diabolique de lever cet obstacle une
00:34:42
fois que stocknet a atteint sa cible il
00:34:45
reste dormant comme les pires virus
00:34:47
biologiques et ce pendant 13 jours il
00:34:49
évite ainsi les soupçons s'assure que
00:34:51
les centrifugeuses sont bien remplis
00:34:53
d'uranium mais surtout ce lapse de temps
00:34:55
lui permet de réaliser un enregistrement
00:34:58
il stock toutes les données reçues par
00:35:00
le logiciel SCADA ainsi après 13 jours
00:35:03
quand Stuxnet passe à l'attaque il prend
00:35:05
le contrôle du flux de statistique pour
00:35:07
rediffuser son enregistrement en boucle
00:35:10
les opérateurs dans la salle ne
00:35:11
devraient voir sur leur écran aucune
00:35:13
anomalie alors qu'en arrière-plan le
00:35:15
virus commence sa vilain
00:35:18
besogne il va se mettre à changer la
00:35:20
fréquence de rotation des centrifugeuses
00:35:22
si à la base elle tourne à 1000 Hz donc
00:35:24
à 1000 tours par seconde tuxnet les
00:35:26
accélère jusqu à la limite mécanique de
00:35:29
ce que les rotur en aluminium peuvent
00:35:30
supporter une fois cette vitesse
00:35:32
atteinte il va à l'inverse les ralentir
00:35:34
subitement pour déclencher de violentes
00:35:36
vibrations ces changements abruptes de
00:35:38
vitesse de rotation rendent non
00:35:40
seulement l'enrichissement de l'uranium
00:35:41
bien moins productif mais surtout il
00:35:44
ravage les centrifugeuses parce que
00:35:46
stocknet est bien plus malsin qu'on peut
00:35:48
le croire il vise des fréquences
00:35:50
précises qui vont faire entrer les
00:35:51
centrifugeuse en résonance leur
00:35:54
structure même va vibrer jusqu'à les
00:35:56
endommager voire les détruire ce
00:35:58
processus devrait a priori faire un
00:36:00
boucamp assourdissant un concert de
00:36:02
grincement et de vibration qui font le
00:36:04
bruit d'un moteur d'avion on suppose
00:36:06
qu'à cet instant les ingénieurs paniqués
00:36:08
iraient désespérément écraser le bouton
00:36:10
d'arrêt
00:36:13
d'urgence mais il constaterait alors
00:36:16
avec horreur qu'il ne produit plus rien
00:36:18
car ce scénario aussi a été prévu en
00:36:21
arrière-plan Stuxnet est fait pour
00:36:23
intercepter cette requête elle n'arrive
00:36:25
jamais à destination on peut s'imaginer
00:36:27
la position horrible qu'auraient alors
00:36:29
les ingénieurs ils verraient leurs
00:36:30
panneau de contrôle parfaitement
00:36:32
fonctionnel et des centrifugeuses qui
00:36:34
sans dommage la seule conclusion
00:36:36
possible serait que l'erreur venait
00:36:37
d'eux et de la fabrication des
00:36:39
centrifugeuses certainement pas d'un
00:36:41
virus il travaillerait d'arrachepied
00:36:43
pour comprendre ce qui ne va pas dans ce
00:36:44
qu'ils font perdrai un temps précieux et
00:36:46
la confiance de leur gouvernement ça en
00:36:48
tout cas c'était le plan maintenant avec
00:36:50
quelques années de recul on sait ce qui
00:36:52
s'est passé en s'appuyant sur les taux
00:36:54
de défection des centrifugeuses en Iran
00:36:56
les chercheurs ont avec une quasi
00:36:58
certitude qu'il a marché Stuxnet est bel
00:37:01
et bien parvenu à infecter l'ordinateur
00:37:04
de contrôle des
00:37:05
centrifugeuses on estime qu'il aura
00:37:07
détruit près d'un 5è des centrifugeuses
00:37:09
de Nathans causé plusieurs interruptions
00:37:12
dans la production et ralenti le
00:37:13
programme nucléaire iranien de moins une
00:37:18
année alors qui l'a fait qui sont les
00:37:21
coupable et ben c'est là que ça devient
00:37:23
vraiment compliqué parce que vous vous
00:37:24
doutez bien que personne et encore moins
00:37:26
un état ne va publiquement déclaré qu'il
00:37:28
a créé un Maloir aussi dangereux et en
00:37:30
dehors du droit mais depuis le temps
00:37:32
suffisamment d'informations et de
00:37:34
témoignages ont fuité pour établir avec
00:37:36
une certaine assurance l'identité des
00:37:38
commanditaires les États-Unis la
00:37:40
Grande-Bretagne et Israël ce sont eux
00:37:43
derrière le virus trois nations qui ont
00:37:46
la bombe nucléaire et qui ne veulent
00:37:47
absolument pas qu'une telle arme puisse
00:37:49
arriver dans les mains d'un ennemi les
00:37:51
sanctions politique et économique contre
00:37:52
l'Iran semblant insuffisante ils ont
00:37:55
imaginé cette solution détournée qui ne
00:37:57
laisse pas de trace visible et qui ne
00:37:59
passe pas pour une déclaration de guerre
00:38:00
c'est ainsi qu' a été lancé le projet
00:38:02
Olympic Games une mission qui devait
00:38:04
durer jusqu'au 24 juin 2012 quelques
00:38:07
mois avant la fin du mandat de Barack
00:38:09
Obama 2 ans pour permettre au virus
00:38:11
d'atteindre sa cible tout en limitant
00:38:13
les dégâts collatéraux la cyberarme a
00:38:15
réussi sa mission pénétrer l'un des
00:38:17
endroits les plus gardés et perturber le
00:38:19
programme nucléaire d'un pays tout enti
00:38:22
mais ce faisant ils ont commis une
00:38:24
erreur ils ont complètement perdu le
00:38:27
contrôle de leur monstres en 2011 c'est
00:38:30
la question qui obsède les journalistes
00:38:32
comment des services d'espionnage avec
00:38:33
les moyens des occidentaux ont-ils fini
00:38:36
avec un bot net de 100000 machines
00:38:38
techniquement ils ont ainsi attaqué
00:38:40
illégalement de nombreuses entreprises y
00:38:42
compris chez leurs alliés qu'est-ce qui
00:38:44
a merdé en fait c'est au sein des
00:38:46
services secrets israéliens que se
00:38:48
trouve l'explication si le code
00:38:50
d'origine a été conçu par la NSA c'est
00:38:52
le Mossad qui était visiblement chargé
00:38:54
d'infiltrer le virus à Nathans et il
00:38:57
subissait de fortes pressions le Premier
00:38:59
ministre Benjamin netaniaou aurait exigé
00:39:01
des avancées concrètes et les Israéliens
00:39:04
semblent avoir agi dans l'urgence ils
00:39:06
ont modifié le code d'origine conçu par
00:39:08
les Américains pour le rendre beaucoup
00:39:10
plus agressif c'est là qu'ils ont ajouté
00:39:12
leur arsenal de zer days et en 2010 sans
00:39:16
même prévenir leur partenaires ils ont
00:39:18
lancé leur version du virus cette
00:39:20
précipitation a été désastreuse car à
00:39:22
cette étape un bug a probablement été
00:39:24
introduit cette version censée être
00:39:26
invisible éteignait désormais
00:39:28
aléatoirement les ordinateurs qu'elle
00:39:30
infectait dans leur rempressement les
00:39:33
Israéliens ont ouvert une véritable
00:39:35
boîte de Pandore et contaminer le monde
00:39:37
entier avec un virus buggé l'ironie
00:39:40
c'est qu'il n'a même pas vraiment rempli
00:39:42
sa mission le programme nucléaire
00:39:43
iranien après un bon nettoyage a repris
00:39:46
de plus belle et puis stxnet s'est
00:39:48
retourné contre ses créateurs parmi les
00:39:51
victimes on trouve de nombreux
00:39:52
ordinateurs américains européens et
00:39:54
Israéliens des gigantesques moyens
00:39:56
publics et privé ont été mis en place
00:39:58
pour se protéger sans que les services
00:40:00
secrets de ces pays puissent intervenir
00:40:02
mais surtout en découvrant le virus et
00:40:03
leur commanditaire ça n'a qu'aggravé
00:40:06
l'animosité préexistante entre Tran et
00:40:08
Washington d'après le directeur exécutif
00:40:10
du conseil américano-iranien de nombreux
00:40:12
jeunes ont été motivé à s'enrôer à cause
00:40:14
de Stuxnet créant l'une des plus grandes
00:40:17
cyber armées du monde donc Stuxnet est
00:40:20
au final un échec mais il aura fait
00:40:22
basculer le monde dans une nouvelle ère
00:40:24
c'est la première cyberarme et si les
00:40:27
guerres et les armes physiques sont
00:40:28
régulées par des traités internationaux
00:40:30
ça n'est pas le cas pour le monde
00:40:32
numérique les états savent désormais
00:40:34
qu'ils ont dans leur arsenal un
00:40:36
instrument sans signature qui peut faire
00:40:38
plus de dommage qu'une bombe ils peuvent
00:40:40
arrêter des hôpitaux créer des pannes
00:40:42
d'électricité et paralyser les économies
00:40:45
en 2013 lorsque Snowden a diffusé de
00:40:47
nombreux fichiers provenant des services
00:40:48
secrets l'un d'entre eux était
00:40:50
particulièrement intéressant il décrit
00:40:52
la doctrine de l'État américain sur les
00:40:54
attaques informatiques et révèle que
00:40:56
toute cyberattaque doit être commandité
00:40:58
et approuvé par le président des
00:41:00
États-Unis une des seules choses qui a
00:41:02
ce statut l'utilisation d'une bombe
00:41:05
nucléaire
00:41:09
[Musique]