Une société de sécurité a récemment confirmé qu'un logiciel malveillant "Fast16", découvert il y a de nombreuses années mais entièrement analysé récemment, avait été utilisé pour interférer secrètement avec des tests de simulation d'explosion d'armes nucléaires. L’objectif n’était pas de détruire directement les armes, mais de falsifier les données des tests pour induire les ingénieurs en erreur en leur faisant croire que l’essai nucléaire avait échoué, ralentissant ainsi l’avancement du programme nucléaire.
Selon la dernière analyse de l'équipe de chasse aux menaces de la société de sécurité Symantec, « Fast16 » cible au moins deux logiciels de simulation de haute précision - LS-DYNA et AUTODYN, remplaçant secrètement les données de test clés lorsqu'elles sont utilisées pour simuler les processus physiques d'explosifs puissants et d'ogives nucléaires. Le code malveillant agira lorsque la simulation sera proche de l'état « supercritique » et altérera discrètement les valeurs affichées devant les ingénieurs, leur faisant croire à tort que la pression du cœur n'est pas suffisante pour déclencher une réaction nucléaire en chaîne.
Les experts nucléaires ont souligné que, à en juger par les détails du code et sa période d'activité, la cible de « Fast16 » est presque certainement le premier programme d'armes nucléaires de l'Iran. David Albright, fondateur de l'Institut pour la science et la sécurité internationale, un groupe de réflexion américain, a déclaré que même s'il était théoriquement possible de cibler d'autres pays engagés dans la recherche et le développement d'armes nucléaires à l'époque, le calendrier, l'accès requis au développement et l'accent mis sur les matières premières à base d'uranium indiquaient que les efforts nucléaires de l'Iran étaient la cible la plus probable. Il a souligné : « Nous ne pouvons pas complètement exclure des pays comme la Corée du Nord ou la Syrie, mais lorsque tous les facteurs clés sont additionnés, le programme d’armes nucléaires de l’Iran reste la cible la plus convaincante. »
Comparé au célèbre "Stuxnet", "Fast16" n'est pas plus ancien, mais une autre "arme numérique" apparue à peu près au même moment. Le code de « Fast16 » a été compilé le 30 août 2005, et les preuves suggèrent que Stuxnet a commencé son développement à peu près au même moment, bien que ce dernier n'ait été « abandonné » dans les systèmes de centrifugeuses iraniennes qu'en 2007. « Stuxnet » a discrètement miné les capacités iraniennes d'enrichissement de l'uranium en manipulant le fonctionnement des centrifugeuses et en falsifiant les données de surveillance ; "Fast16" a travaillé sur un autre front : il n'a pas détruit l'équipement physique, mais a fait perdre à l'équipe de conception des armes nucléaires une connaissance précise des résultats de la simulation.
Les chercheurs ont noté que Fast16 ciblait une étape critique du processus de compression hautement explosive : lorsque la densité du noyau d’uranium dans la simulation atteignait environ 30 grammes par centimètre cube – juste en dessous du seuil de densité auquel l’uranium comprimé commencerait à se liquéfier – le logiciel malveillant a commencé à intercepter et à falsifier les données. Les paramètres physiques réels sont remplacés par de fausses valeurs inférieures de quelques points de pourcentage. Les fluctuations semblent normales sur le graphique, mais elles suffisent pour que les ingénieurs tirent la conclusion erronée que « la pression est insuffisante et la conception a échoué ». Cela obligera l'équipe à ajuster constamment les calculs, à augmenter la charge explosive ou à modifier la conception structurelle, perdant du temps et des ressources dans une « chasse aux bugs » sans fin et des conflits internes.
L'équipe Symantec a également constaté que « Fast16 » offre une adaptation fine à plusieurs versions de LS‑DYNA, et que ces supports n'augmentent pas linéairement dans l'ordre des versions logicielles, mais sont « sautés » pour compenser. Cela signifie que l'attaquant est susceptible de continuer à obtenir des renseignements sur le moment où l'équipe d'ingénierie cible est passée à quelle version du logiciel de simulation et à mettre à jour le code malveillant en conséquence pour garantir que, quelle que soit la manière dont la cible est mise à niveau ou annulée, les résultats de la simulation continueront d'être manipulés. Dans le même temps, le malware se propagera également latéralement au sein du réseau interne, obligeant tout terminal utilisé pour exécuter la simulation à produire les mêmes données falsifiées, réduisant encore davantage la probabilité que la victime soupçonne que le système a été compromis.
L'existence de « Fast16 » a été remarquée pour la première fois par des chercheurs en sécurité grâce à une fuite d'un document de l'Agence américaine de sécurité nationale (NSA) en 2017. Ces outils ont été volés par le mystérieux groupe de hackers « Shadow Brokers » et publiés par lots. Le « Fast16 » mentionné dans le document est décrit comme une capacité d'attaque réellement mise en œuvre, plutôt que comme une preuve de concept qui reste en laboratoire. Bien qu'aucun échantillon réel n'ait été divulgué à l'époque, un échantillon « Fast16 » a été téléchargé sur la plateforme de détection de logiciels malveillants VirusTotal en octobre 2017 et est resté inaperçu pendant les deux années suivantes. Ce n’est que lorsque Juan Andres Guerrero-Saade, chercheur sur SentinelOne, a découvert cet échantillon en 2019 et s’est associé au chercheur indépendant Vitaly Kamluk pour utiliser l’intelligence artificielle afin de démanteler ses fonctions, et son essence pour les calculs de simulation de haute précision a été initialement révélée.
À l’époque, l’équipe de SentinelOne avait émis l’hypothèse que « Fast16 » était probablement conçu pour perturber le logiciel informatique utilisé pour simuler les détonations nucléaires, et avait répertorié LS-DYNA comme l’une des cibles les plus probables, car des informations publiques révélaient que l’Iran avait utilisé le logiciel dans des recherches sur les détonations. Aujourd’hui, la dernière analyse technique de Symantec le confirme et confirme en outre qu’AUTODYN est également à portée d’attaque. Les deux logiciels sont des outils couramment utilisés dans les cercles industriels et de recherche scientifique. Ils peuvent être utilisés pour étudier une série de scénarios de physique à haute pression tels que la résistance des métaux, l’impact d’une collision, l’aérospatiale et la sécurité des véhicules. Ils conviennent également à la simulation du comportement des ogives nucléaires soumises à une compression hautement explosive.
Pour comprendre le fonctionnement de « Fast16 », il faut revenir au contexte historique du programme nucléaire iranien. En 2002, le Conseil national de la Résistance, le groupe d'opposition iranien en exil, a tenu une conférence de presse à Washington, révélant que l'Iran faisait secrètement progresser son programme d'armes nucléaires. De nombreuses installations qui n'avaient pas été signalées à l'Agence internationale de l'énergie atomique (AIEA) ont été exposées. En 2003, une inspection sur place de l'AIEA a révélé que les activités nucléaires de l'Iran dépassaient de loin ce qu'il était tenu de divulguer en vertu du Traité sur la non-prolifération des armes nucléaires et qu'il y avait des signes suspects d'utilisation militaire. Sous la pression internationale, l'Iran a accepté de suspendre temporairement certaines activités nucléaires en 2004 et d'entamer des négociations avec l'Union européenne ; Cependant, à l'été 2005, les négociations ont échoué et l'Iran a annoncé la reprise des activités d'enrichissement et a encouragé l'installation et l'exploitation de centrifugeuses dans les installations de Natanz.
Les chercheurs en sécurité en déduisent que c'est entre 2003 et 2005 que les agences de renseignement ont déterminé que l'Iran poursuivait toujours ses recherches liées aux armes nucléaires, en particulier dans le cadre du « Projet Amad » (Projet Amad), qui utilisait des simulations informatiques pour compenser les limites de l'échelle limitée des essais d'explosion réelle. Albright a souligné que la communauté du renseignement américain a publié une évaluation en 2007 selon laquelle l'Iran avait suspendu son programme d'armes nucléaires en 2003, mais les agences de renseignement de pays comme Israël et l'Allemagne croient depuis longtemps que l'Iran a repris ses travaux de manière plus secrète et avec un financement réduit en 2005. À ce stade, les expériences physiques sont limitées et le statut de la simulation informatique est élevé, ce qui signifie également que la destruction précise des logiciels de simulation deviendra une voie d'attaque très rentable.
"Fast16" est conçu comme un outil de "destruction douce" très secret. Il n’infecte pas de manière imprudente tous les hôtes cibles. Au lieu de cela, il vérifie d'abord si 18 produits de sécurité spécifiques sont installés sur le système. Une fois ces logiciels de protection détectés, ils se ferment automatiquement pour réduire le risque d'être capturé et analysé. Après s'être faufilé dans l'environnement de simulation, cela ne déclenche activement aucune anomalie évidente. Au lieu de cela, il commence à fonctionner lorsqu’il détecte que la simulation hautement explosive est lancée et utilise un modèle mathématique spécifique. Les simulations d’explosion nucléaire peuvent utiliser une variété de modèles mathématiques différents. La différence réside dans la description de variables telles que la pression, le volume, la densité et leur interaction dans des conditions extrêmes. "Fast16" n'intervient dans la falsification que lorsqu'il détecte que trois des modèles spécifiques sont activés pour garantir la précision et l'efficacité de l'attaque.
En termes de conception d'armes nucléaires, l'Iran aurait procédé à des tests de composants explosifs pour des dispositifs à implosion sphérique : des explosifs puissants sont uniformément recouverts à l'extérieur d'un noyau d'uranium sphérique, et des ondes de choc sont générées par l'allumage, poussant des « morceaux volants » métalliques vers l'intérieur pour frapper le noyau d'uranium comme un marteau, le faisant entrer dans un état de haute pression et de haute température. Dans cet état, les neutrons libérés par le noyau d'uranium entrent fréquemment en collision avec d'autres noyaux atomiques, déclenchant une réaction de fission en chaîne, provoquant ainsi une explosion nucléaire. Les ingénieurs ajustent constamment la disposition des explosifs, le moment de la détonation et les paramètres des matériaux grâce à la simulation pour trouver la solution optimale pour atteindre l'état « supercritique », et « Fast16 » modifie les chiffres qu'ils lisent au cours de ce processus critique.
L’analyse d’Albright estime que si le malware ne réduit que légèrement la valeur réelle de 1 % à 5 %, les changements de courbe sur le graphique sembleront tout à fait normaux à l’œil nu, mais cela suffit à modifier le jugement de l’ingénieur sur les résultats. Ils peuvent penser que l’impact est insuffisant, que la compression n’est pas suffisante ou que la conception est défectueuse, ils ajustent donc à plusieurs reprises le modèle et la configuration de charge, et chaque simulation conduira à des conclusions manipulées et erronées. Dans ce cas, le but de l'attaque n'est pas de rendre une certaine explosion « hors de contrôle », mais de continuer à perturber le rythme de développement, à consumer la confiance de l'équipe, à créer des frictions internes et des doutes sur le plan de conception, ralentissant ainsi le processus global de développement d'armes nucléaires.
Vikram Thakur, chercheur chez Symantec, a souligné que "Fast16" peut sembler techniquement simple, mais il s'agit de l'une des "très rares attaques d'élite" car elle nécessite que l'attaquant non seulement maîtrise les mécanismes internes du logiciel cible, mais également une compréhension approfondie des processus physiques nucléaires, des propriétés des matériaux et de la manière d'obtenir l'effet trompeur souhaité avec un minimum de changements. Il estime que la création d'un tel malware « d'attaque et de défense de l'intégrité des données » basé sur des connaissances en ingénierie de précision en 2005 est « rare à aucune époque, et encore plus inimaginable à l'époque ».
Malgré cela, Thakur a souligné que Stuxnet reste l’un des codes malveillants les plus avancés jamais vus en termes de complexité. Ce que les deux ont en commun, c'est qu'ils concentrent tous deux leurs attaques sur le « niveau des données » : en altérant les données sorties par le système plutôt qu'en endommageant directement le matériel, permettant ainsi à la victime de se perdre dans des informations erronées. Dans le même temps, les attaquants doivent pénétrer dans des environnements de sécurité hautement isolés et physiquement isolés, comprendre précisément le fonctionnement de ces environnements et mettre en œuvre des modifications extrêmement sophistiquées sans être découverts.
Stuxnet n'a été découvert que lorsqu'il s'est propagé à des systèmes extérieurs à Natanz et a provoqué un crash. Il est resté en sommeil pendant environ trois ans. Après sa révélation, l'impact sur le programme nucléaire iranien ne s'est pas limité aux dommages physiques, mais a également inclus la destruction de la confiance dans l'ensemble du système d'ingénierie : les ingénieurs iraniens ont depuis maintenu un degré élevé de suspicion quant à toute défaillance. Même le vieillissement ordinaire d’un équipement ou des erreurs accidentelles peuvent être soupçonnés d’être le résultat d’un sabotage externe. Symantec estime que les faits révélés par « Fast16 » exerceront également une pression psychologique sur le projet nucléaire iranien : ils rappellent aux décideurs et au personnel technique que même les données cachées dans les logiciels de simulation informatique peuvent ne pas être fiables.
Les chercheurs pensent généralement que « Fast16 » et « Stuxnet » feront probablement partie d’une opération plus vaste et à plusieurs niveaux lancée par l’Occident contre le programme nucléaire iranien. Au cours des deux dernières décennies, les États-Unis et leurs alliés ont continué à utiliser différentes méthodes, allant des cyberattaques aux frappes ciblées, pour tenter de retarder ou d’empêcher l’Iran d’acquérir des capacités nucléaires. Les « frappes cinétiques » traditionnelles n’ont pas complètement détruit l’infrastructure nucléaire iranienne, et l’histoire « Fast16 » récemment révélée ajoute un nouveau chapitre à ce jeu à long terme : elle montre comment, en plus de la pression militaire traditionnelle, grâce à une destruction numérique qui semble légère mais qui pénètre en réalité profondément dans le cœur, le calendrier et les aspects politiques du projet nucléaire peuvent être modifiés sans déclencher une explosion à grande échelle.
À l’heure où les États-Unis et Israël tentent toujours de limiter le programme nucléaire iranien par la pression et les négociations, la révélation de « Fast16 » est considérée comme un avertissement : pour les décideurs et ingénieurs nucléaires iraniens, la soi-disant « frontière de sécurité » devient de plus en plus floue, et tout lien – même un logiciel de simulation apparemment neutre et fiable en laboratoire – peut devenir une porte d’entrée pour les saboteurs numériques.