StuxNet et PLC Blaster Siemens : quand les virus s'attaquent aux automates programmables

StuxNet : c'est le nom du ver informatique découvert en 2010 et qui visait à attaquer le site nucléaire iranien en ciblant le système de contrôle-commande des centrifugeuses.Il a été le premier virus à attaquer des sites industriels.D'une taille d'environ,1MB,le virus Stuxnet peut infecter et modifier le programme d'un automate.D'après les spécialistes,il a fallu 6 mois aux concepteurs pour mettre en œuvre le virus.

Selon le chercheur Ralph Langner,une fois installé sur un système Windows,le virus Stuxnet infecte les fichiers  projet du logiciel de contrôle commande WinCC/PCS7 de Siemens et subvertit une bibliothèque de communication clé de WinCC appelée S7otbxdx.dll.Cela permet ainsi d'intercepter les communications entre le logiciel WinCC fonctionnant sous Windows et les périphériques cibles comme les automates.De cette manière, le logiciel malveillant est capable de s'installer lui-même sur les automates  et ensuite de masquer sa présence à partir de WinCC si le logiciel de contrôle tente de lire un bloc de mémoire infecté de l'automate.Le ver Stuxnet a la possibilité d'espionner et de reprogrammer complètement le système infecté.

Infection des variateurs de vitesse des centrifugeuses

Stuxnet visait le périphérique esclave que constituait  le variateur de vitesse qui pilotait les centrifugeuses et qui était connecté à un automate S7-300.Le virus avait la possibilité de surveiller la fréquence des moteurs rattachés à ces variateurs.

Stuxnet a infecté l'automate S7-300 connecté au variateur en installant un logiciel malveillant dans le bloc de mémoire DB890 qui surveillait le bus de messagerie Profibus du système.En infectant l'automate,le virus pouvait donc modifier la fréquence des moteurs et ainsi perturber le fonctionnement de l'installation.

PLC Blaster : apparition d'un nouveau ver qui s'attaque aux automates S7-1200

Lors de la conférence Black Hat Asie,des experts en sécurité informatique ont démontré que le malware PLC Blaster s'attaquait aux automates Siemens S7-1200.Le PLC Blaster a la possibilité d'infecter un automate et causer des dysfonctionnements de production.Le PLC Blaster est plus redoutable que le StuxNet vu qu'il n'a pas besoin d'appareils externes comme un PC pour se propager.Il a la possibilité en utilisant le protocole TCP/IP de détecter tous les équipements vulnérables.

Depuis,Siemens a donné des recommandations permettant de se prémunir du virus PLC Blaster.