Michael Krampe, porte-parole de Siemens Industry, a déclaré que « Siemens avait identifié le problème le 14 Juillet. », ajoutant que l'entreprise avait immédiatement rassemblé une équipe de spécialistes pour évaluer la situation. « Siemens prend toutes les précautions pour alerter ses clients sur les risques potentiels de ce virus, » a-t-il écrit dans un mail. Les experts en sécurité disent que le virus ressemble au type d'attaque qu'ils redoutent depuis des années : un logiciel malveillant conçu pour infiltrer les systèmes utilisés dans la gestion des usines et certains éléments sensibles des infrastructures. Certains craignent que ce type de virus puisse être utilisé pour prendre le contrôle de ces systèmes, perturber les opérations ou déclencher un accident majeur. Cependant, une analyse rapide du code semble plutôt indiquer, selon eux, que le virus a probablement été conçu pour voler des secrets sur les sites et autres installations industrielles. «Il a toutes les caractéristiques d'une arme informatique, sans doute à vue d'espionnage, » a déclaré Jake Brodsky, informaticien dans le département IT d'une grande entreprise, qui s'est exprimé en son nom propre.
D'autres experts en sécurité des systèmes industriels ont confirmé son analyse, affirmant que « le logiciel malveillant a été écrit par un attaquant subtil et déterminé. » Le logiciel en question n'exploite pas un bug du système de Siemens pour prendre le contrôle de l'ordinateur, mais plutôt un bug de Windows jamais divulgué pour s'introduire dans le système. Le virus vise en effet le logiciel de gestion Simatic WinCC de Siemens, lequel fonctionne sous le système d'exploitation de Microsoft. « Siemens a informé son équipe commerciale et communiquera directement avec ses clients pour expliquer les circonstances, » a déclaré son représentant. «Nous demandons instamment à nos clients d'effectuer un bilan actif des systèmes informatiques sur lesquels sont installés et utilisés WinCC, et de mettre à jour leurs logiciels antivirus, comme nous leur demandons de rester vigilants sur le plan de la sécurité informatique dans leurs environnements de production. »
Un virus ciblant toutes les versions de Windows
Vendredi dernier, Microsoft a publié un avis de sécurité sur la question, précisant que le bug affectait toutes les versions de Windows, y compris son dernier système d'exploitation Windows 7. Selon Microsoft, le bug n'a été exploité que dans un nombre limité de cas, et dans des attaques ciblées. Généralement, pour des raisons de sécurité, les systèmes exécutant le logiciel de contrôle et d'acquisition de données Scada (Supervision, Control and Data Acquisition
) de Siemens ne sont pas connectés à Internet, mais ce virus se propage lorsqu'une clef USB infectée est insérée dans un ordinateur. « Une fois le périphérique USB connecté au PC, le virus cherche un système Siemens WinCC ou un autre périphérique USB, » selon Frank Boldewin, analyste en sécurité auprès du prestataire de services informatiques allemand GAD, qui a étudié le code. « Il se copie dans n'importe quel périphérique USB trouvé, mais s'il détecte le logiciel de Siemens, il tente immédiatement de se connecter en utilisant un mot de passe par défaut. Sinon, il ne fait rien, » a-t-il expliqué dans une interview réalisée par mail. « Cette technique fonctionne parce que les systèmes Scada sont souvent mal configurés, avec des mots de passe par défaut inchangés, » affirme Franck Boldewin. Le virus a été découvert le mois dernier par des chercheurs du VirusBlokAda, une entreprise de sécurité informatique basée en Biélorussie, et dont s'est fait l'écho le blogueur Brian Krebs.
Une fausse signature Realtrek pour s'infiltrer
Pour contourner les systèmes Windows qui ont besoin de signatures digitales - une pratique courante dans les environnements Scada - le virus utilise une signature attribuée au fabricant de semi-conducteurs Realtek. Le virus est déclenché chaque fois qu'un utilisateur essaie de visualiser le contenu de la clé USB. (voir le PDF expliquant comment agit le virus). On ne sait pas comment les auteurs du virus ont pu attribuer à leur code la signature numérique de Realtek, mais cela pourrait indiquer que la clé de cryptage Realtek a été cassée. Au moment de la publication de cet article, le fabricant de semi-conducteurs taïwanais n'avait pas pu être joint pour commentaire.
À bien des égards, le virus imite les attaques de type proof-of-concept que des chercheurs en sécurité, comme Wesley McGrew, ont mis au point depuis plusieurs années dans leurs laboratoires. Ces virus sont attractifs pour les attaquants, car ils peuvent récolter des tas d'informations sur l'usine ou l'entreprise dans lesquelles ils parviennent à s'infiltrer. « L'auteur du virus peut avoir visé une installation spécifique, » indique Wesley McGrew, fondateur de McGrew Security et chercheur à l'Université du Mississippi. « Si les auteurs avaient voulu pénétrer dans un grand nombre d'ordinateurs plutôt que viser une cible spécifique, ils auraient essayé d'exploiter des systèmes de gestion Scada plus populaire comme Wonderware ou RSLogix, » a-t-il encore déclaré.
Une question d'argent
Selon les experts, les raisons pour lesquelles quelqu'un pourrait vouloir casser un système Scada ne manquent pas. Pour Wesley McGrew, « il s'agit sans doute d'une question d'argent, » ajoutant qu'« en entrant dans un système Scada, le criminel détient un otage qu'il peut monnayer. » Comme l'a déclaré Eric Byres, directeur et conseil en sécurité chez Byres Security, les criminels pourraient utiliser les informations volées à un constructeur utilisant WinCC pour réaliser des produits de contrefaçon. « C'est le must de la récolte IP réussie ! Ça ressemble aussi à une attaque ciblée et bien réelle, » conclut-il.