Selon un ancien chef de la CIA cette opération était une première : si des codes malveillants avaient déjà été utilisés depuis longtemps par les services de renseignement, leur impact se limitait à l’ordinateur infecté. Avec ce qui allait devenir Stuxnet, ce serait la première cyber-attaque d’envergure destinée à provoquer des destructions physiques (les vétérans se souviennent certes du cyber-sabotage d’une pipeline Russe en 1982, mais il s’agissait alors d’un Cheval de Troie unique – et en outre l’affaire n’a jamais été entièrement élucidée)

Une fois le code testé avec succès se pose la question de sa dissémination. Pour cela les services de renseignement américains et Israéliens semblent être revenus aux bases de leur profession : la manipulation de sources humaines. « Il y a toujours un idiot qui ne se méfie pas de la clé USB qu’on lui met entre les mains« , aurait déclaré l’un des architectes de Stuxnet. Dont acte : les premières versions de Stuxnet ont été distribuées sur des clés USB piégées.

Les premières attaques datent de 2008. A cette époque les Iraniens passent totalement à côté de Stuxnet et blament plutôt des pièces défectueuses ou l’incompétence des opérateurs. D’autant plus que le code malveillant est conçu pour renvoyer de fausses informations aux outils de contrôles, indiquant que tout fonctionne parfaitement.

Les résultats sont là : les Iraniens se méfient de tout, sur-réagissent, éteignent des banques entières de centrifugeuses et licencient des personnels du programme d’enrichissement. Les opérations sont effectivement perturbées. Cela a duré jusqu’en 2010. Entre temps, le président Obama s’est installé à la Maison Blanche et bien qu’aucune destruction majeure n’ait eu lieu grâce à Stuxnet, il donne l’ordre de poursuivre les attaques.

A cette date, une nouvelle version du parasite est « poussée » sur les machines infectées. Elle contient une modification – a priori involontaire – qui sera fatale au programme. Le code ne vérifie plus son environnement d’exécution : une fois déployé par un ingénieur Iranien sur une machine connectée à Internet, il commence à se répliquer dans le monde entier. C’est la fin de cette phase de l’opération… mais probablement pas de l’histoire !

Tandis que le code de Stuxnet est encore analysé à ce jour par la plupart des éditeurs d’antivirus, de nouveaux cyber-espions ont étés découverts : le cousin Duqu, et plus récemment Flame. Rien ne prouve qu’ils soient eux aussi l’oeuvre d’une opération d’espionnage initiée par un Etat. Mais il serait naïf d’imaginer qu’une fois une nouvelle arme versée à l’arsenal des Nations – et son efficacité démontrée – elle n’y reste pas…

Plus d’information :

L’article du New-York Times est basé sur l’ouvrage Confront & Conceal, de David E. Sanger. Il s’agit d’une enquête à paraître demain, aux éditions Crown (en pré-commande, 28$).