Giovanni Buchle
Stagiaire TSSR · IT Tech
CPU --%
RAM -- / --
Apache2 actif
Uptime --
STUXNET
// Anon kozé !
// la première cyber-arme physique
2009-2010 · Worm industriel · Zero‑days · Iran
$> analyse_stuxnet.exe --impact
explorer la menace
chronologie de l'attaque
2005-2007
Développement probable (Stuxnet / "Project Olympic Games")
2009
Premières infections détectées (ingénierie sociale + clé USB)
Juin 2010
Détection par VirusBlokAda (Biélorussie) — début de l'analyse publique
Nov 2010
Révélation : ciblage des centrifugeuses IR-1 à Natanz (Iran)
cibles critiques · IR-1 / centrifugeuses
🔴 ZERO-DAY

Contrôleurs SIEMENS S7

Stuxnet cible spécifiquement les API S7-315 & S7-417 modifiant la fréquence des convertisseurs. Il injecte du code malveillant dans le bloc DB890.

[ROP] injection DLL → modification du code de la logique industrielle
IR-1 ROTOR

Vitesse réelle de centrifuge

0 rpm
🔵 surveillance nominale

Stuxnet accélérait soudainement jusqu'à ~14 000 rpm puis ralentissait à 200 rpm, détruisant les rotors par fatigue mécanique.

propagation & zero‑days

Clé USB infectée

Le vecteur principal malgré l'air gap. Exploit .LNK (MS10-046) + chevauchement de signature.

4 zero‑days majeurs

MS08-067, MS10-061, MS10-066, MS10-046 — propagation en réseau via RPC et partage imprimante.

Autorootkit & furtivité

Stuxnet remplaçait les drivers Siemens et masquait les fichiers .dll aux analyses natives.

effet destructeur : altération fréquence

Cycle de déstabilisation

  • ◉ Phase 1 : accélération 800 → 1410 Hz (destruction rotor)
  • ◉ Phase 2 : ralentissement brutal → 2 Hz
  • ◉ Phase 3 : lecture fausse des capteurs → opérateurs voient "normal"

Résultat

1000 centrifuges IR-1 endommagées. Retard du programme nucléaire iranien estimé à 2 ans. Première preuve de cyber sabotage physique.

lessons for TSSR / Blue team

L'air gap n'est pas absolu

Les clés USB, les fournisseurs ou la maintenance interne peuvent briser l'isolation physique. Politique « USB killer » + stations d'analyse.

✔ whitelisting applicatif / AppLocker ✔ désactiver autorun

Défense en profondeur OT

Segmentation réseau, IDS spécifiques aux protocoles industriels (Modbus, S7), signature de code pour les automates.

Chasse aux anomalies

Surveiller les variations anormales de fréquence des moteurs, l'injection DLL inopinée, les logs de redémarrage d'API.

📈 corrélation SIEM + contrôles manuels inopinés
approches SIEM / IDS · détection de Stuxnet
Détection réseau

IDS/IPS signatures

Règles Snort/Suricata pour identifier les communications anormales (port 445, RPC, propagation LSASS).

alert tcp $HOME_NET any -> $HOME_NET 445
(msg:"Stuxnet SMB propagation"; flow:established;
content:"|ff|SMB|73|"; depth:8; sid:1000001;)
alert tcp any any -> any 1433
(msg:"Stuxnet MSSQL brute force"; flow:to_server;
threshold: type both, track by_src, count 10, seconds 30;)
Détection OT / ICS

Analyse protocoles industriels

Surveillance des trames S7comm (Profinet) pour détecter des écritures suspectes sur les blocs DB.

# Modification fréquence convertisseur
s7comm.function == 0x05 AND
s7comm.area == 0x84 AND
s7comm.db_number == 890
→ ALERTE [CRITICAL]
Corrélation SIEM :
Logs API + logs réseau + variations fréquence → score de risque élevé.
Logs endpoints & EDR

Comportements suspects

Détection d'injection DLL (s7otbxdx.dll, s7otbxsx.dll), création de fichiers .tmp dans %WINDIR%\inf\

EventID 7 (Image Load) → s7otbx*.dll
+ EventID 11 (FileCreate) → *.tmp
→ corrélation Windows Security + Sysmon
KPI SIEM :
Nombre de postes avec s7otbxdx.dll hors contexte Siemens attendu.

Dashboard SIEM — Hypothèse d'attaque Stuxnet

🔴 ALERTES CRITIQUES
3
écriture DB890 inattendue
🟡 ALERTES HAUTES
12
propagation SMB anormale
🟢 POSTES COMPROMIS
2
SIEMENS station ingénierie
Requête Splunk / ELK :
index=winlog EventCode=7 ImageLoaded="*s7otbx*.dll"
| stats count by host, parent_process | where count > 5

Timeline détection SIEM (rétrospective)

T+0
🔵 USB infectée connectée → détection par HIPS (si actif)
T+2h
🟡 Exploitation MS10-046 → Sysmon event ID 1 (parent process anormal)
T+12h
🟠 Propagation SMB brute force → détection IDS réseau
T+24h
🔴 Modification API (écriture DB) → alerte sur passerelle OT/IT
T+48h
⚡ Corrélation SIEM → Incident Response déclenchée
Vidéo explicative · Stuxnet
Cybernews en français

Stuxnet : la première cyber-arme qui a fait exploser des centrifugeuses

Vidéo source : chaîne YouTube "Cybernews en français" — explication du fonctionnement, des zero-days et de l'impact géopolitique.

Source : Youtube — Chaine Cybernews en français.

Exposé de l'Université Paris 8 - Institut français de géopolitique

Scannez ce QR code pour accéder à la fiche récapitulative "stuxnet_pdf.pdf"

📱 Scannez pour télécharger / consulter la fiche PDF

Télécharger stuxnet_pdf.pdf

*Placez votre fichier "stuxnet_pdf.pdf" dans le même dossier que cette page