Stuxnet : le triomphe de la culture « hacker »

L’histoire de Stuxnet, un ver informatique qui a empêché une guerre nucléaire et de Captain Crunch, légendaire pionnier du hacking.

La «culture hacker» vit la meilleure et la pire heure de son histoire. D’un côté, le ver informatique (le complexe et très redouté «Stuxnet») vient de remporter une victoire sans précédent. C’est là un bond en avant d’envergure dans le développement des «malwares» (terme générique se rapportant aux logiciels trouble-fêtes que les virus viennent installer dans nos ordinateurs via les réseaux numériques).

Stuxnet, prix Nobel de la paix ?

Stuxnet serait composé de 15.000 lignes de code. Il a fait toute la démonstration de ses super-pouvoirs numérique à l’automne dernier, lorsqu’il a pénétré, pris le contrôle, et provoqué l’autodestruction de quelque mille centrifugeuses d’enrichissement d’uranium de l’usine  nucléaire de Natanz en Iran.

Ce même automne, Stuxnet a changé de nom et a revêtu un nouveau déguisement numérique (je le verrai bien dans un long imper virtuel, à la Bogart), avant de se glisser à pas de loup dans le réacteur nucléaire flambant neuf de la province iranienne de Bushehr. Ce réacteur venait de recevoir une cargaison de combustible nucléaire russe (mais n’avait pas encore été alimenté); un réacteur sensé n’être utilisé qu’à des fins pacifiques, mais dont le plutonium à usage militaire était l’un des «produits dérivés» potentiels.

Stuxnet a pris le contrôle du panneau de commande du réacteur de Bushehr, a fait ce qu’il avait à faire – et a rendu cet immense complexe à un milliard de dollars complètement inopérant. En un clin d’oeil. Même Mahmoud Ahmadinejad se trouva dans l’obligation de reconnaître que le réacteur avait été à la source de quelques «problèmes», avant d’affirmer qu’ils avaient été «résolus». Deux mois plus tard, le réacteur était toujours à l’arrêt. Certains analystes affirment que l’attaque à retardé la capacité de l’Iran a créer ses premières bombes nucléaires d’au moins deux ans.

Il est possible que ces problèmes soient permanents; le ver pourrait dissimuler d’autres programmes malveillants. Et c’est bien ce qui rend Stuxnet à la fois impressionnant et potentiellement inquiétant: impossible de savoir si le virus a dévoilé l’ensemble de ses capacités; impossible de savoir s’il garde quelques cartes dans sa manche; impossible enfin de savoir si les machines infectées pourront ou non être complètement nettoyées. Ou de savoir si nous sommes les prochains sur sa liste. Tout ce que l’on sait, c’est que c’est du grand art.

C’est un expert de la sécurité informatique qui lui a sans doute rendu le plus bel hommage, en qualifiant l’apparition du virus – et la destruction qu’il a semé dans le programme nucléaire iranien – de «moment Oppenheimer» dans l’histoire du hacking. Un moment qui a vu les virus malwares passer du statut de trouble-fêtes malveillants mais maîtrisable à celui d’armes à part entière. Des armes à la puissance incroyablement plus destructrice que celle qui les précédaient; des armes potentiellement incontrôlables, capables de changer l’Histoire – tout comme la première arme nucléaire élaborée par Oppenheimer à Los Alamos: succédant à la simple TNT, avait fait planer la menace d’une destruction totale sur la planète.

Les experts de la sécurité informatique coutumiers des virus malwares les plus complexes ne cachent pas leur émoi.

Comme l’explique Ralph Langner, consultant en sécurité informatique basé en Allemagne, «les Iraniens n’ont pas les connaissances nécessaires pour lutter contre le ver, ou pour comprendre sa complexité.» Next Big Future, blog  dédié aux «technologies perturbatrices», relaie cette déclaration de Langner :

«Voilà leur problème. Ils devraient se débarrasser de tous les ordinateurs liés au programme nucléaire, et repartir de zéro. Mais ça leur est impossible. En outre, la maintenance et la construction de leurs sites nucléaires sont entièrement dépendantes de sociétés extérieures. Il faudrait remplacer tous les ordinateurs de ces dernières en prime. Mais ça leur est impossible. Résultat: ils vont continuer de s’infecter les uns les autres.»

«S’ils disposaient des meilleurs experts et du meilleur matériel possible, la remise en route des usines prendrait au moins un an, parce qu’il est extrêmement difficile de nettoyer le virus; il va même se loger dans les systèmes de sauvegarde. Mais ça leur est impossible.»

Mais un «moment Oppenheimer» représente plus qu’une progression-éclair de la puissance et du caractère trompeur des virus. Il implique des répercussions géopolitiques de grande ampleur. Le moment Oppenheimer originel a permis de mettre un terme à la Seconde Guerre mondiale via les terribles bombardements nucléaires d’Hiroshima et de Nagasaki. Celui de Stuxnet pourrait bien nous avoir accordé un (inattendu) répit de dernière minute alors que nous nous engagions sur la voie d’une guerre nucléaire potentielle.

Imaginez : Stuxnet a paralysé les principaux sites nucléaires d’Iran (et aurait infecté environ 60.000 de ses ordinateurs) au moment même où les Israéliens donnaient l’impression de se préparer à bombarder ces installations, et semblaient disposés à employer tout l’armement jugé nécessaire pour empêcher l’Iran d’avoir la bombe (inutile de rappeler qu’ils disposent d’un arsenal nucléaire non déclaré). Quoi que vous pensiez des positions d’Israël, vous conviendrez qu’ils n’hésiteraient pas à le faire s’ils n’existaient pas d’alternative. Une attaque de cette ampleur pousserait certainement les Iraniens à riposter, et ils seraient sans doute alors vite imités par leurs sympathisants au sein de l’armée pakistanaise – armée qui contrôle (tant bien que mal) la «Bombe islamique», arsenal comptant entre soixante et cent ogives nucléaires.

Le monde était sur le point de sombrer dans une guerre nucléaire régionale aux conséquences des plus incertaines. Puis Stuxnet est entré en scène.

Oh, ne vous réjouissez pas trop vite; elle arrivera bien tôt ou tard, cette guerre nucléaire régionale. Mais Stuxnet a sans doute retardé le point de non-retour, et ce pour plusieurs années. Notez que les avis divergent sur le temps qu’a pu nous faire gagner le malware (entre autres mesures).

Rien d’étonnant, donc, à ce qu’un blog satirique ait fait de Stuxnet son «Homme de l’année»; j’ai pour ma part proposé de lui décerner le prix Nobel de la paix. La suggestion était modeste et n’était qu’à moitié sérieuse; elle a toutefois été relayée par d’autres blogs.

L’âge d’or des hackers

Les hackers et leur culture nagent depuis peu en plein triomphe. Notez qu’un «hack» qualifie toute sorte d’intrusion non autorisée dans les entrailles d’un ordinateur, qu’elle soit le fait d’un hacker isolé ou des agents d’un gouvernement ennemi.

L’audacieuse investigation récemment conduite par le New York Times quant aux origines de Stuxnet pèche par son refus de considérer les créateurs du virus comme des «hackers», dans la mesure où il aurait été élaboré par des agents du gouvernement américain et/ou israélien.Un hacker reste un hacker, qu’il soit fonctionnaire ou non. Pour prendre un exemple, il est de notoriété publique que l’armée chinoise dispose d’une division entière de spécialistes en guerre informatique; le sceau officiel du gouvernement n’en fait pas moins des hackers.

Les derniers triomphes du hacking dépassent celui de Stuxnet. Nous avons assisté à l’affaire WikiLeaks (moins subtile, mais plus volumineuse), au piratage de Gawker, et à la contamination de Facebook par un ver à l’automne dernier (les utilisateurs ont été victimes de spam et d’hameçonnage). On commençait à se dire qu’aucune machine, qu’aucun internaute n’était réellement à l’abri. A la une d’USA Today daté du 11 janvier 2011, on pouvait ainsi lire cet inquiétant gros titre  «L’avertissement des experts: les cyberspammers élaborent de nouvelles formes d’attaques». L’article mentionnait la brusque diminution des traditionnels réseaux pirates de type «botnet», qui peuvent infecter des milliers de PC et les transformer en «ordinateurs zombies» pour servir leurs propres intérêts. Selon le quotidien, l’abandon soudain de cette activité criminelle particulièrement profitable pourrait laisser présager de l’apparition d’une nouvelle et redoutable tactique de piratage.

Mais cet âge d’or des hackers, de leurs vers et autres «malwares de guerre» a un côté particulièrement ironique: la légendaire figure tutélaire du hacking, son «icône héroïque» (pour citer le magazine Computerworld), fantôme dans la machine bien réel et mythique, super-héros de plusieurs générations de nerds et de geeks (y compris le créateur d’Apple), l’homme surnommé «Captain Crunch», souffre d’une mystérieuse blessure; une lésion hautement handicapante ayant entraîné des séquelles nerveuses et des douleurs atroces. L’homme se bat pour conserver l’usage de ses mains – des mains qui ont, presque à elles seules, donné naissance à la «culture hacker».

Nous avons besoin de super héros du piratage

Cette nouvelle nous parvient au moment même où nous semblons avoir le plus besoin d’un super-héros du piratage; d’un héros capable de faire face aux défis insoupçonnés que peuvent représenter les super-vers-informatiques. Le «moment Oppenheimer» de Los Alamos était à la fois un triomphe scientifique et une tragédie humaine; de la même manière, Stuxnet et ses équivalents pourraient bien recéler une inquiétante part d’ombre.

Je ne suis pas le seul à le penser. J’avais déjà consacré un article aux cinquante missiles nucléaires du Wyoming, dont on a perdu le contrôle pendant une heure en octobre dernier. Les cinquante missiles Minutemen stockés dans le centre de commande de tir de la base F.E. Warren ne répondaient plus aux communications. Leur système de communication aurait été interrompu en raison d’un dysfonctionnement matériel: ce dysfonctionnement aurait déphasé le temps de réponse de missile à missile, le faisant accélérer et ralentir par intermittence; les missiles se seraient alors déconnectés pour se prémunir de toute intrusion potentielle.

Ce n’était probablement qu’un accident – mais dans les comptes-rendus de l’attaque de Stuxnet sur les sites iraniens, on peut lire que le virus a pris le contrôle de leurs commandes afin d’accélérer et de ralentir les cycles de vitesse des centrifugeuses, provoquant dysfonctionnements et arrêts forcés. En faisant quelques recherches pour cet article, je suis tombé sur un commentaire consacré à l’incident du Wyoming sur Armscontrolwonk.com, blog particulièrement bien informé: «Et si c’était Stuxnet?»

Une hypothèse des plus troublantes. Si un ver informatique de type Stuxnet peut rendre une usine nucléaire iranienne incontrôlable, on peut craindre de voir un virus équivalent ou plus perfectionné (et peut-être mis au point par la très redoutée division informatique de l’armée chinoise) prendre le contrôle de nos systèmes de lancement de missiles nucléaires. Ce n’est peut-être pas possible pour l’instant. Mais cette menace potentielle ne peut être écartée.

Ce scénario de science-fiction rappelle peut-être à certains celui des films «Terminator», dans lesquels Skynet, système de contrôle de l’armement nucléaire, se retourne contre ses créateurs et tente de détruire l’humanité.

Personne ne pense  que les machines sont réellement capables de déclencher l’Apocalypse par elles-mêmes. Mais pour ce qui est des hommes…

Il semble non seulement prudent, mais surtout urgent, de recruter les meilleurs hackers du pays pour mettre au point des systèmes permettant de nous défendre contre les utilisations malveillantes des vers de type Stuxnet, qui pourraient être employés dans l’intention de provoquer des guerres dévastatrices. A moins que vous préfériez vous en remettre aux bureaucrates du Pentagone?

Cette équipe de super-geeks serait menée par l’homme qui pourrait bien être à l’origine de toutes ces péripéties: Captain Crunch lui-même.

Captain Crunch, l’ultime recours

C’est en écrivant «Secrets of the Little Blue Box», reportage paru en 1971 dans le magazine Esquire, que j’ai rencontré le Captain pour la première fois. L’article était consacré aux «phreakers», proto-hackers téléphoniques; plusieurs d’entre eux étaient des petits génies de l’électronique atteints de cécité, qui avaient découvert un moyen de pirater les circuits à longue distance de l’opérateur AT&T, alors en situation de monopole. C’est à cette époque que le Captain (John Draper, de son vrai nom) s’est imposé; il a opéré la transition entre le phreaking téléphonique (réalisé à l’aide d’une «blue box», dispositif capable de reproduire les cycles de signaux internes de l’opérateur) et le hacking de circuits informatiques par modem.

On le voyait faire le tour de la région – aujourd’hui connue sous le nom de Silicon Valley – dans un van Volkswagen équipé de ce qu’il appelait son «dispositif informatisé»; il s’arrêtait prêt des cabines les plus isolées et se branchait sur les circuits du monde entier. Le premier super-héros du hacking, équipé de sa fidèle cabine téléphonique.

Après la parution de mon article, la vie du Captain a connu des hauts et des bas. Côté positif, les deux Steve (Jobs et Wozniak) ont fait appel à lui. La première fois, ils voulaient qu’il les aide à construire des «blue boxes» dans le garage de leurs parents. La seconde, c’était après la création d’Apple; il est devenu l’un de leurs techniciens qualifié, et les a aidés à concevoir l’un de leurs premiers programmes de traitement de texte, EZ Writer. Certains disent même qu’il a joué un rôle clé dans l’élaboration des premiers PC. Côté négatif, il avait la mauvaise habitude de s’étendre sur ses exploits illégaux; les fédéraux l’ont arrêté, et il a passé quelque temps derrière les barreaux.

Ceci dit, il n’est jamais devenu un «black hat», comme on dit aujourd’hui; il n’a jamais utilisé ses talents de hackers à des fins criminelles. Il appartenait plutôt à la catégorie des hackers «look-at-me»; ces magiciens surdoués qui n’aiment rien tant qu’à contourner les pare-feux, les anti-virus et tout autre système de protection sophistiqué élaborés par les professionnels de la sécurité informatique.

Ces hackers rétorqueraient qu’ils ne piratent pas simplement pour la frime, mais aussi par esprit civique, pour «faire la démonstration des faiblesses» des systèmes informatiques qui les entourent. Et Captain Crunch est encore plus important d’un point de vue culturel : sans lui, le hacking ne serait pas devenu «cool». Il a inspiré tous les geeks surdoués qui, frustrés par la vie de bureau, désiraient vivre un grand frisson à la James Bond.

Crunch est le père de cette sensibilité joyeusement anarchique, de cette attitude de hors-la-loi à la Robin des Bois qui a amené les esprits les plus non-conformistes et les plus brillants à rejoindre le monde de la technologie; une grande partie d’entre eux ont ensuite pu tirer parti de leur connaissance de l’insécurité informatique pour  devenir des experts… de la sécurité informatique.

Imaginez donc ma surprise et ma tristesse lorsque j’ai découvert, lors d’une recherche Google consacrée aux dernières formes de la culture hacker et à Stuxnet, un site nommé «Saving Captain Crunch», qui donnait quelques détails  sur sa situation; j’ai découvert le reste de l’affaire sur d’autres sites solidaires.

Selon PC World, l’incident s’est déroulé lors d’une conférence sur l’informatique à laquelle assistait l’icône héroïque du hacking; ce dernier vaquait à ses occupations, quand soudain, un fan débordant d’enthousiasme lui aurait donné une accolade quelque brutale, tordant plusieurs vertèbres – fragilisées par une opération récente – au point de rompre la communication nerveuse dans ses bras et ses mains. La blessure le faisait terriblement souffrir, et il perdait le contrôle de ses mains à une vitesse effrayante.

L’incident est survenu en octobre dernier; le Captain et ses amis ont lancé un appel à soutien; il n’avait pas les moyens de payer l’opération (lourde, et particulièrement onéreuse), et ce même avec l’appui de Medicaid.

Mais PC World nous donne une bonne nouvelle: Captain Crunch a été opéré, et annonce (dans un commentaire posté suite de la publication de cet article) qu’il se remet peu à peu de ses blessures.

L’attaque de Stuxnet a paralysé le système nerveux d’un site nucléaire au moment même où les mains talentueuses de Captain Crunch étaient paralysées par une lésion nerveuse. Il y a quelque chose de terrible et de profondément perturbant dans cette coïncidence.

Je pense que nous sommes aux portes d’une nouvelle époque; une époque pleine d’angoisse quant à la «solidité» des cyber-structures qui sont devenues les fondations invisibles de notre existence personnelle et géopolitique. Le mystérieux hacker anonyme, qu’il soit «black hat» ou «white hat», pourrait avoir plus d’impact sur nos vies que Zuckerberg, Jobs, Brin et compagnie, et ce en dépit de tous leurs milliards.

En un sens, je suis heureux de ne pas avoir entendu parler des mésaventures de Captain Crunch avant qu’il ait été opéré (semble-t-il avec succès). L’ironie de la situation aurait été bien trop cruelle. Mais puisqu’on annonce que certaines versions de Stuxnet sont désormais disponibles sur le marché noir (ou qu’elles pourraient être améliorées afin de permettre à des nations hostiles de s’accaparer nos ogives nucléaires), je suis heureux de savoir le Captain de retour. Captain Crunch est, sinon un trésor national, du moins une source inépuisable de connaissances et de ruses pour vaincre les machines. Il incarne, à lui seul, la victoire de l’infinie créativité sournoise de l’homme sur les circuits de silicium.

Captain, je vous souhaite un prompt rétablissement.

Ron Rosenbaum

Traduit par Jean-Clément Nau