Un dérivé de Stuxnet découvert sur des systèmes informatiques industriels en Europe

Conçu à des fins de collecte d'informations et non pas de sabotage, le cheval de Troie Duqu pourrait bien être précurseur d'une nouvelle génération de menace bien plus inquiétante que Stuxnet.

Découvert en juin 2010 mais probablement conçu dès 2009, le virus Stuxnet a semé la panique en Iran en s'attaquant aux logiciels de contrôles des automates industriels SCADA fournis par Siemens.

Mais la tempête pourrait bientôt s'abattre sur d'autres pays, y compris (surtout ?) ceux qui sont suspectés d'être impliqués dans sa création, à savoir les Etats-Unis et Israël. Il faut dire que la mise à disposition sur Internet depuis juillet dernier du code source de Stuxnet a grandement facilité la tâche des pirates.

Alerté le 14 octobre par un laboratoire de recherche, l'éditeur de sécurité Symantec a tiré la sonnette d'alarme en révélant l'existence d'un malware conçu avec des bouts de code source de Stuxnet.

Duqu doit permettre aux pirates de mettre la main sur des données de conception des systèmes informatiques industriels

Baptisé Duqu (en rapport avec le préfixe DQ des noms de fichiers malveillants créés lors de son installation), ce logiciel malveillant identifié dans plusieurs systèmes informatisés situés en Europe, se présente comme un cheval de Troie permettant une prise de contrôle à distance du PC infecté. Selon Symantec, certains fichiers associés à Duqu ont été signés par des clés privées, volées à l'un des clients de l'éditeur situé à Taïwan.

Duqu utilise par ailleurs les protocoles HTTP et HTTPS pour communiquer avec un serveur de contrôle et de commande distant depuis lequel il a la possibilité de télécharger des bouts de codes exécutables complémentaires permettant de déclencher certaines actions (énumération réseau, enregistreur de frappes...).

Mais la ressemblance avec Stuxnet s'arrête là. Car Duqu n'a pas été conçu pour saboter le système informatique sur lequel il est installé, ni pour se dupliquer. Son objectif se révèle en réalité bien plus pernicieux. 

Le réveil pour les RSSI risque bien d'être douloureux

"L'objectif de Duqu est de permettre aux pirates de collecter des données relatives aux systèmes de contrôle industriels. Ils recherchent des informations comme des documents de conception pour les aider à mener une future attaque sur une installation de contrôle industriel", prévient Symantec sur son blog.

Duqu n'a donc pas vocation a devenir la nouvelle bête noire des responsables de la sécurité des systèmes d'information. De plus, il n'a pas vocation à durer dans le temps. Car ce trojan est programmé pour se désinstaller automatiquement 36 jours après avoir infecté le système hôte. Une auto-destruction en quelque sorte permettant de laisser le moins de traces possible.

En revanche, dans le cas où un nombre suffisant d'informations - plus ou moins sensibles - relatives aux systèmes informatiques industriels SCADA parviennent aux mains des pirates, le réveil pour les RSSI risque bien d'être douloureux.