Après Stuxnet, Duqu déboule
Symantec a alerté la communauté sécurité sur le trojan Duqu, qui pourrait être, selon l'éditeur, le précurseur d'un prochain Stuxnet. Une partie du code de ce malware est similaire au fameux ver qui ciblait des systèmes industriels.
Et si un des enfants naturels de Stuxnet se nommait Duqu. C'est en tout cas une hypothèse avancée par Symantec, qui explique sur son blog que ce trojan partage une bonne partie de son code source avec Stuxnet, même si l'éditeur constate que « les objectifs de Duqu sont différents ». Stuxnet avait été créé pour bloquer ou saboter des systèmes de contrôle industriel (comme une centrale nucléaire par exemple) et sur des systèmes très précis, SCADA de Siemens en l'occurrence. Duqu se définit selon Alexander Gostev, expert en sécurité chez Kaspersky, comme « deux programmes malfaisant (au minimum), un module principal et un keylogger (enregistreur de frappes), un logiciel permettant d'enregistrer l'utilisateur d'un ordinateur ». L'objectif de Duqu, qui est un RAT (Remote Access Trojan) selon Symantec, pourrait récupérer à distance des données sur les systèmes de contrôle industriel, comme les plans de conceptions, les rapports de maintenance, etc. Cette collecte d'informations peut ensuite être utilisée ou aider à la préparation d'une attaque. Symantec explique qu'il est très probable que le code de Duqu ait été créé par « les mêmes personnes qui ont fait celui de Stuxnet ».
Duqu viserait les autorités de certification
L'existence même de Duqu ne semble faire aucun doute, cependant la finalité du trojan fait débat au sein de la communauté des éditeurs de solutions de sécurité. Ainsi, McAfee explique que Duqu ne dispose pas des fonctionnalités de Stuxnet, même s'il concède un lien de parenté. Pour la filiale sécurité d'Intel, l'objectif visé par ces malware est certaines autorités de certification situées dans ce que l'on dénomme « Caneus Auris », une zone comprenant l'Inde, l'Afrique, le Moyen-Orient. Un trojan à suivre...
