Dans un document publié aujourd'hui et présenté lors d'une conférence sur la sécurité qui se tient à Vancouver, Colombie-Britannique, un trio de chercheurs travaillant pour Symantec a avancé que Stuxnet comprenait dans son code des références à l'exécution, en 1979, d'un éminent homme d'affaires juif iranien. Le code Stuxnet contiendrait ainsi un marqueur caché constitué de la suite de chiffres "19790509". Les chercheurs Nicolas Falliere, Liam O Murchú et Eric Chen pensent que cette suite agit comme un indicateur informant Stuxnet de ne pas infecter le PC ciblé dans le cas où il serait en présence d'un marqueur identique. Mais ce n'est pas tout : ils ont émis l'hypothèse que le marqueur pourrait correspondre au 9 mai 1979. «Plusieurs évènements historiques se sont produits le 9 mai 1979, mais c'est aussi la date à laquelle, selon Wikipedia, Habib Elghanian, un éminent homme d'affaires juif iranien, accusé d'espionnage au profit d'Israël par le tout nouveau gouvernement révolutionnaire iranien, a été passé par les armes à Téhéran par un peloton d'exécution. L'évènement avait provoqué une onde de choc dans la communauté juive iranienne," ont écrit les chercheurs.
Des indices troublants
Selon un article récent paru dans le Time Magazine, Habib Elghanian a été le premier juif iranien à être exécuté par le gouvernement révolutionnaire, qui a pris le pouvoir en janvier 1979 après la fuite du Shah d'Iran, Mohammad Reza Pahlavi. "On a dit que Habib Elghanian, qui a été reconnu coupable d'espionnage au profit d'Israël, avait réalisé de gros investissements en Israël et avait octroyé des fonds à l'armée israélienne. L'accusation a fait de lui un complice "des raids aériens meurtriers contre des Palestiniens innocents"," rapporte le Time.
Mais les trois chercheurs mettent en garde contre une conclusion trop évidente, qui amènerait à désigner Israël comme étant à l'origine de Stuxnet. "C'est une pratique commune dans le monde du piratage. Les pirates seraient ravis de mettre en cause une autre partie," ont-ils déclaré. Pour comprendre comment fonctionnait Stuxnet et savoir d'où il venait, de nombreux chercheurs, dont ceux de Symantec, de Kaspersky Lab et d'ailleurs, se sont mis à décortiquer le ver repéré en juillet et dont la réputation a été vite faite. Qualifié de malware parmi les plus sophistiqués jamais réalisé par Liam O Murchú et d'autres, Stuxnet vise les PC sous Windows chargés de superviser des systèmes d'acquisition et de contrôle des données appelés SCADA, lesquels gèrent et surveillent à peu près tout type d'installations, depuis les centrales électriques et les machines des usines jusqu'aux oléoducs et aux installations militaires.
Un ver sophistiqué
L'architecture complexe du ver et la nature de sa cible ont conduit certains à conclure que Stuxnet avait été conçu par un groupe de pirates avec le soutien d'un État. Les infections massives constatées dans les infrastructures iraniennes ont laissé entendre que le ver visait peut-être les installations nucléaires de ce pays. Le week-end dernier, les autorités iraniennes ont confirmé que des dizaines de milliers de PC avaient été infectés par Stuxnet, dont certains utilisés dans une centrale nucléaire située dans le sud-ouest de l'Iran, et qui devait entrer en service le mois prochain.
Les chercheurs de Symantec ont également révélé une foule de détails sur Stuxnet dans leur document, comme cette "date de destruction" fixée au 24 juin 2012, après laquelle le ver deviendrait inactif.
Illustration : Utilitaire proposé par Greatis software pour éliminer le ver Stuxnet.