Kozé du matin TSSR :
#Cybersécurité Industrielle
Un enjeu de #demain?
Giovanni Buchle 🇷🇪
Stagiaire TSSR · Ariane Formation
CPU--%
RAM-- / --
Down--
Up--
Apache2 actif
Uptime--
STUXNET
// Anon kozé !
// la première cyber-arme physique
2009-2010 · Worm industriel · Zero‑days · Iran
$> analyse_stuxnet.exe --impact
Explorer la menace
Contexte géopolitique · Iran 2024-2026
TENSIONS ACTUELLES

Crise économique & programme nucléaire

1.42 €/L
Prix moyen essence Iran +340%

Contexte explosif : Depuis 2024, l'Iran subit des sanctions économiques renforcées, provoquant une hausse vertigineuse du prix du carburant (passé de 0.32€ à plus de 1.40€/L). Les manifestations se multiplient dans les grandes villes comme Téhéran, Ispahan et Chiraz.

INDICATEURS CLÉS 2025-2026 :
▸ Inflation officielle : ~45% (FMI) · ▸ Chômage jeunes : >25%
▸ Programme nucléaire : enrichissement uranium à 60% (seuil proche militaire)
▸ Cyberattaques vs infrastructures iraniennes : +180% en 2 ans
Parallèle avec Stuxnet : La guerre hybride Iran / Occident continue. Aujourd'hui, les APT comme APT33 (Elfin) ou OilRig mènent des attaques par ransomware et vols de données. Stuxnet reste le modèle du sabotage cyber-physique.
Chronologie de l'attaque
2005-2007
Développement probable (Stuxnet / "Project Olympic Games")
2009
Premières infections détectées (ingénierie sociale + clé USB)
Juin 2010
Détection par VirusBlokAda (Biélorussie) — début de l'analyse publique
Nov 2010
Révélation : ciblage des centrifugeuses IR-1 à Natanz (Iran) - Siemens SCADA (Supervisory Control and Data Acquisition)
Fév 2011
Symantec publie analyse complète : 5-10 personnes, 6 mois de développement - Microsoft estime 10 000 jours·homme de développement
Juin 2012
Date de "destruction" du ver (autodestruction programmée)
Cycle de vie · Stuxnet
1. USB infectée
Exploit .LNK (MS10-046)
2. Propagation
Zero-days SMB / RPC
3. Infection API
Injection DLL s7otbxdx.dll
4. Manipulation
Modification DB890
5. DESTRUCTION
14 000 rpm → explosion
🟢 Stuxnet dormant · En attente d'exécution
Cibles critiques · IR-1 / centrifugeuses
🔴 ZERO-DAY

Contrôleurs SIEMENS S7

Stuxnet cible spécifiquement les API S7-315 & S7-417 modifiant la fréquence des convertisseurs. Il injecte du code malveillant dans le bloc DB890.

[ROP] injection DLL → modification du code de la logique industrielle
📊 Chiffres clés
• 45 000 systèmes infectés dont 30 000 en Iran
• Taille du ver : 0,5 Mo · Langages : C et C++
• 10 000 jours·homme de développement (estimation Microsoft)
≈ 40 personnes à plein temps pendant 1 an
IR-1 ROTOR

Vitesse réelle de centrifuge

0 rpm
🔵 surveillance nominale

Stuxnet accélérait soudainement jusqu'à ~14 000 rpm puis ralentissait à 200 rpm, détruisant les rotors par fatigue mécanique.

🎯 CIBLES TECHNIQUES

La chaîne d'attaque

WinCC (SCADA) → Step 7 → S7Comm → S7-400 → DB890 → Fréquence → DESTRUCTION

Stuxnet injecte son code dans l'automate via la vulnérabilité du protocole S7Comm. Il cible spécifiquement le Data Block 890, qui contient les paramètres de vitesse des centrifugeuses IR-1.

Propagation & zero‑days

Clé USB infectée

Le vecteur principal malgré l'air gap. Exploit .LNK (MS10-046) + chevauchement de signature.

4 zero‑days majeurs

MS08-067, MS10-061, MS10-066, MS10-046 — propagation en réseau via RPC et partage imprimante.

Autorootkit & furtivité

Stuxnet remplaçait les drivers Siemens et masquait les fichiers .dll aux analyses natives.

Infrastructure de commande (C&C) - Commande et Contrôle
Domaines utilisés

Serveurs de contrôle

www.mypremierfutbol.com
www.todaysfutbol.com

📡 Mécanisme P2P + mise à jour automatique
🔐 Certificats volés (Realtek, Micron)
Mécanismes de défense

Auto-protection

Ne s'exécute pas si l'antivirus eTrust v5/v6 est présent

🔒 Rootkits + hooking Ntdll.dll pour tromper les AV
Effet destructeur : altération fréquence de rotation

Cycle de déstabilisation

  • ◉ Phase 1 : accélération 800 → 1410 Hz (destruction rotor)
  • ◉ Phase 2 : ralentissement brutal → 2 Hz
  • ◉ Phase 3 : lecture fausse des capteurs → opérateurs voient "normal"

Résultat

1000 centrifuges IR-1 endommagées. Retard du programme nucléaire iranien estimé à 2 ans. Première preuve de cyber sabotage physique.

Lessons for TSSR / La Blue Team

L'air gap n'est pas absolu

Les clés USB, les fournisseurs ou la maintenance interne peuvent briser l'isolation physique. Politique « USB killer » + stations d'analyse.

✔ whitelisting applicatif / AppLocker ✔ désactiver autorun

Défense en profondeur OT

Segmentation réseau, IDS spécifiques aux protocoles industriels (Modbus, S7), signature de code pour les automates.

Chasse aux anomalies

Surveiller les variations anormales de fréquence des moteurs, l'injection DLL inopinée, les logs de redémarrage d'API.

📈 corrélation SIEM + contrôles manuels inopinés

Mots de passe par défaut : une faille critique

Siemens déconseillait de changer les mots de passe par défaut car "cela pourrait affecter le bon fonctionnement de l'usine" — une faille que Stuxnet a exploité sans état d'âme.

⚠️ Bonnes pratiques : Toujours changer les mots de passe par défaut des équipements industriels et appliquer le principe du moindre privilège.
Approches SIEM / IDS · Détection de Stuxnet
Détection réseau

IDS/IPS signatures

Règles Snort/Suricata pour identifier les communications anormales (port 445, RPC, propagation LSASS).

alert tcp $HOME_NET any -> $HOME_NET 445 (msg:"Stuxnet SMB propagation"; sid:1000001;)
alert tcp any any -> any 1433 (msg:"Stuxnet MSSQL brute force"; threshold: type both, track by_src, count 10, seconds 30;)
Détection OT / ICS

Analyse protocoles industriels

s7comm.function == 0x05 AND s7comm.area == 0x84 AND s7comm.db_number == 890 → ALERTE CRITIQUE
Corrélation SIEM : Logs API + logs réseau + variations fréquence → score de risque élevé.
Logs endpoints & EDR
EventID 7 (Image Load) → s7otbx*.dll + EventID 11 (FileCreate) → *.tmp → corrélation
KPI SIEM : Nombre de postes avec s7otbxdx.dll hors contexte Siemens attendu.

Dashboard SIEM — Hypothèse d'attaque Stuxnet

🔴 ALERTES CRITIQUES
3
écriture DB890 inattendue
🟡 ALERTES HAUTES
12
propagation SMB anormale
🟢 POSTES COMPROMIS
2
SIEMENS station ingénierie
Requête Splunk / ELK : index=winlog EventCode=7 ImageLoaded="*s7otbx*.dll" | stats count by host, parent_process | where count > 5

Timeline détection SIEM (rétrospective)

T+0
🔵 USB infectée connectée → détection par HIPS (si actif)
T+2h
🟡 Exploitation MS10-046 → Sysmon event ID 1 (parent process anormal)
T+12h
🟠 Propagation SMB brute force → détection IDS réseau
T+24h
🔴 Modification API (écriture DB) → alerte sur passerelle OT/IT
T+48h
⚡ Corrélation SIEM → Incident Response déclenchée
Vidéo explicative · Stuxnet
Cybernews en français

Stuxnet : la première cyber-arme qui a fait exploser des centrifugeuses

Télécharger la vidéo ici →

La Russie avait déclaré à l'époque que Stuxnet aurait pu provoquer une "catastrophe plus grande que Tchernobyl"

Etude de cas Symantec - Malicious Code Analyst

Reverse engineering - Photos de centrigugeuses - Photos des automates Siemens

Télécharger stuxnet_pdf.pdf

Bonne lecture !