La Foolad Technic engineer & Co. est, a priori, une société comme une autre. Cette entreprise iranienne fabrique des systèmes automatisés pour des sites industriels du pays, essentiellement dans le secteur de l’énergie et de l’acier. Elle a aussi été le "patient zéro" de Stuxnet, ce virus utilisé dans l'attaque informatique d’une ampleur et d’une complexité sans précédent visant à déstabiliser le programme nucléaire iranien en 2010.

Comme dans le cas d'épidémies de maladies, la découverte de la toute première victime, la semaine dernière par la société russe de sécurité informatique Kaspersky Lab, en dit long sur l’opération Stuxnet. Ces révélations apportent des précieuses informations sur le modus operandi de l’attaque ainsi que sur les rouages du programme nucléaire iranien.

Trouver la bonne porte d'entrée

"Le niveau de sécurité autour des installations nucléaires de Natanz ou de Bouchehr, visées par cette opération, a poussé les assaillants à chercher des moyens détournés pour faire entrer Stuxnet sur ces sites", souligne à France 24 Costin Raiu, directeur de l’équipe de recherche et d’analyse internationale (GReAT) de Kaspersky Lab.

En attaquant entre autres Foolad Technic, les créateurs de Stuxnet voulaient infecter les systèmes électroniques destinés à contrôler les centrifuges dans les centrales visées. "Les assaillants espéraient que des composants assemblés dans ces usines et infectés par Stuxnet soient ensuite installés dans les centrales où le virus pourrait se propager et paralyser le programme nucléaire", détaille Costin Raiu. Toute l’opération Stuxnet reposait donc sur le bon vieux principe du cheval de Troie.

Kaspersky a identifié cinq entreprises directement ciblées par Stuxnet. Deux d'entre elles semblent avoir particulièrement intéressé les assaillants car elles ont été attaquées à plusieurs reprises. La première, Behpajooh, n’apparaît sur aucune liste noire internationale. Elle fabrique, comme Foolad Technic engineer, des systèmes automatisées susceptibles d’équiper les sites d’enrichissement d’uranium. Mais son nom apparaît dans un article du quotidien de Dubaï "Khaleej Times" où Behpajooh est soupçonné d’avoir participé, en 2006, à un trafic de composants nécessaires pour fabriquer la bombe atomique.

L’autre société est davantage connue. Kala, aussi appelé Kalaye Electric, est, depuis 2007, dans le viseur des États-Unis et du Japon pour son rôle présumé dans la "prolifération d’armes de destruction massive". "Cette société semble être au cœur du programme nucléaire iranien car elle est soupçonnée de produire les centrifuges nécessaires à l’enrichissement de l’uranium", explique Costin Raiu.

Stuxnet a échappé au contrôle de ses créateurs

"Le virus n’aurait jamais dû sortir d’Iran, il a été conçu spécifiquement pour perturber les installations nucléaires du pays", rappelle Costin Raiu. Pourtant, en 2010, il se retrouve sur des ordinateurs bien au delà des frontières iraniennes.

Que s’est-il passé ? C’est à Behpajooh que les choses se sont gâtées. Le virus s’est propagé des serveurs de cette société à ceux du géant iranien de l’acier Mobarakeh Steel Company. Ce groupe, le plus important fabricant d’acier du Moyen-Orient, a des contacts commerciaux dans le monde entier. C’est donc de ce mastodonte qu'est partie l’épidémie de Stuxnet…

"Sans cette contagion imprévue, nous n’aurions jamais été au courant de l’existence de Stuxnet et d’une cyber-opération visant à déstabiliser le programme nucléaire iranien", souligne Costin Raiu.

Stuxnet a été désigné comme étant le "virus H1N1" (en référence un type de grippe très contagieux) de l’ère informatique, la première arme de sabotage électronique. Mais en réalité, ce logiciel n’est que le chaînon final d’une opération de grande envergure.

L’enquête de Kaspersky démontre que l'équipe à l'origine de Stuxnet avait consciencieusement préparé son coup. "Ils ont travaillé à identifier leurs cibles probablement dès 2006", estime Costin Raiu. L’opération était en cours depuis quatre ans lorsqu’elle a commencé à faire la une des médias du monde entier.

Contrairement à ce qui a été dit depuis 2010, "Stuxnet ne s'est pas propagé via une clef USB ou un mail piégé, mais il a probablement été installé comme une mise à jour d’un virus qui existait déjà sur les systèmes informatiques ciblés", explique Costin Raiu. En clair, l’équipe qui a mené l’attaque avait préparé le terrain en plaçant un premier virus qui leur a permis de rapidement déployer Stuxnet. Kaspersky estime que ce premier logiciel malveillant a été installé dès 2007.

L’analyse du code de Stuxnet montre aussi que son effet a été calibré pour fonctionner spécifiquement sur les centrifuges des sites iraniens. Cela veut dire que les créateurs de Stuxnet devaient avoir une connaissance très poussée du fonctionnement d’installations comme celle de Natanz. "Ils ont dû créer une réplique d’une telle centrifuge pour faire des tests précis, ce qui coûte plusieurs millions de dollars", assure Costin Raiu.

Des années de préparation, probablement des millions de dollars dépensés : est-ce que le jeu en valait la chandelle ? "Seules les victimes peuvent dire à quel point Stuxnet a eu un effet important", affirme Costin Raiu, avant d'ajouter : "Dans notre enquête, rien ne démontre que les centrales nucléaires iraniennes ont effectivement été frappées par le virus".