Après le virus Stuxnet, qui avait infiltré, entre autres, les programmes nucléaires iraniens et perturbé le fonctionnement de la centrale nucléaire iranienne de Boucher, Duqu, un cheval de Troie qui se glisse dans un fichier Word, préfigure lui aussi une attaque très ciblée contre des sites industriels. De son côté, Microsoft estime le risque faible et vient seulement de publier un patch.
C’est l’éditeur Symantec qui, début octobre, avait repéré le virus Duqu « qui semble le précurseur d’une attaque de type Stuxnet ». Il partage une partie de son code avec ce virus considéré par les experts comme une cyber arme conçue pour attaquer une cible industrielle déterminée, espionner et reprogrammer en toute discrétion des systèmes, notamment les « automates programmables industriels » (API) produits par Siemens.
Duqu, quant à lui, exploite une faille dans l’affichage des polices de Windows et peut alors, selon Microsoft, « exécuter du code en mode kernel ». Autrement dit, obtenir les droits utilisateurs les plus élevés sur les ordinateurs. A la différence de Stuxnet, Duqu ne se réplique pas mais s’installe afin de voler un maximum de données. Ce serait là le travail de Duqu : explorer le poste de travail, collecter des données, les envoyer sur des serveurs distants et télécharger des logiciels.
Les cibles
Pour l’instant, Duqu semble n’infecter que des organisations précises, que Symantec estime à six dans huit pays différents : France, Hollande, Inde, Iran, Soudan, Suisse, Ukraine et Vietnam. D’autres distributeurs l’ont également signalé en Autriche, en Hongrie, au Royaume-Uni …. Le virus se propage dans un document Word (.doc) « conçu de manière à cibler l’organisation qui le réceptionne par email », selon Symantec. L’éditeur de solutions de sécurité précise que Microsoft a été contacté à la suite de cette découverte et s’apprête à diffuser un bulletin de sécurité, ainsi qu’un correctif temporaire.
Plus d’informations sur le site de Symantec
Source : Helios Investigations / Groupe Indicia – Détective Montpellier