Le ver Stuxnet se propage en exploitant une vulnérabilité non corrigée de Windows (toutes versions), ce qui lui permet de s’exécuter à l’insertion d’une clé USB dans le système. La vulnérabilité est déjà sérieuse car désactiver le fameux autorun de Windows n’est d’aucune utilité ici puisque c’est l’affichage du contenu de la clé qui provoque l’exécution du ver. Microsoft a reconnu la vulnérabilité et affirme travailler à un correctif.

Mais là où l’affaire prend une toute autre dimension c’est que le ver Stuxnet, le premier à exploiter cette vulnérabilité publiquement, vise tout particulièrement la solution WinCC / PCS7 de Siemens, un outil SCADA (contrôle à distance d’installations techniques industrielles). Et c’est là que l’on se rend compte que la sécurité dans l’informatique industrielle peut souvent être une grosse blague : WinCC / PCS7 s’appuie en effet sur une base de données MS SQL auquel il se connecte via un compte et un mot de passe par défaut codé en dur dans le logiciel (et bien entendu probablement connu de tous depuis un bout de temps).

La pratique est déjà en soi à proscrire mais là où l’on touche le fond c’est lorsque Siemens conseille à ses clients menacés par Stuxnet de serrer les dents et de résister à la tentation de changer le mot de passe SQL par défaut car le produit pourrait ne plus fonctionner ! Cette authentification n’est en effet pas celle destinée à l’utilisateur mais celle d’un mécanisme de communication interne.

Autant dans ces conditions ne pas mettre de mot de passe du tout !

A sa décharge, le fabricant indique toutefois que d’après ses tests les serveurs de contrôle du ver ne sont plus actifs et qu’il n’a eu vent que d’une infection à ce jour, en Allemagne. Il confirme toutefois que le ver est en mesure d’extraire les informations industrielles de la base, ce qui en fait avant tout un outil d’espionnage industriel.

Cette affaire illustre parfaitement non seulement l’absence totale de sensibilisation à la sécurité des acteurs de l’informatique industrielle, mais également les dangers de la sécurité par l’obscurité : un mot de passe par défaut codé en dur, même s’il est exploité dans une solution plutôt confidentielle, se retrouvera toujours dans la nature un jour ou l’autre.

En attendant un correctif de la part de Microsoft il est conseillé de ne plus connecter de clé USB sur les systèmes et de désactiver l’affichage des icônes dans l’Explorateur Windows.

Plus d’information : l'[analyse de Siemens | http://support.automation.siemens.com/WW/view/en/43876783] sur le site de support (en anglais)