De nombreux medias ont expliqué que le ver Stuxnet, logiciel malveillant, peut se propager dans des ordinateurs fonctionnant sous le système d’exploitation Windows, en ciblant les logiciels de contrôle-commande WinCC et PCS 7 de Siemens. Il aurait ainsi perturbé de nombreuses installations industrielles utilisant ces logiciels, notamment le centre de recherche atomique de Natanz, en Iran. L’IRSN s’est donc penché sur les dommages potentiels que pourrait avoir ce virus sur les systèmes de nos centrales nucléaires.
La technologie sophistiquée du ver Stuxnet laisse penser que ses auteurs connaissent très bien certaines failles de Windows et le système de contrôle-commande visé. En France, seul le réacteur nucléaire EPR en construction à Flamanville utilise un système de contrôle-commande Siemens, pour des fonctions d’une importance moyenne ou faible du point de vue de la sûreté ; son éventuelle sensibilité à des logiciels malveillants doit donc être prise en compte dans l’analyse de sûreté.
Fonctionnement du ver Stuxnet
Il infecte les ordinateurs basés sous Windows qui supervisent l’installation en salle de commande, et peut à partir de là modifier le comportement des automates qui régulent et contrôlent le procédé physique. Sa propagation nécessite donc que les ordinateurs de supervision soient basés sur le système d’exploitation Windows et que les logiciels de supervision soient ceux de la gamme PCS 7/WinCC de Siemens.
L’IRSN fonde ses avis concernant le contrôle commande sur une démarche globale d’analyse critique de sûreté, qui comporte notamment une analyse technique systématique et détaillée des systèmes retenus par l’exploitant, dont les dysfonctionnements peuvent influencer la sûreté d’une installation nucléaire. L’exploitant doit apporter toutes les justifications appropriées. Cela implique en particulier que la documentation de conception doit être transmise et que l’exploitant doit justifier le bon fonctionnement de ces systèmes dans tous les cas. Le fait de devoir répondre à des demandes très détaillées en vue de l’analyse de sûreté le conduit naturellement à ne pas proposer des solutions trop complexes ou insuffisamment documentées.
Flamanville épargné
Pour le réacteur EPR, EDF a retenu la gamme « SPPA-T2000 » de Siemens, basée sur sa technologie « S5 » plus ancienne et radicalement différente de sa technologie « WinCC / S7 » visée par Stuxnet. En particulier, les ordinateurs de supervision du réacteur EPR de Flamanville ne sont pas basés sur le système d’exploitation Windows et n’utilisent pas les logiciels WinCC et PCS 7 ; le ver Stuxnet est donc sans influence sur eux.
Cet événement confirme l’intérêt d’une démarche d’analyse critique, fondée sur un examen détaillé des systèmes et non sur des indicateurs comme le retour d’expérience, qui pourraient conduire à accepter un système non pas parce que sa sûreté a été démontrée mais simplement parce que ses failles n’ont pas encore été révélées.
Ainsi, l’analyse de sûreté de la plateforme SPPA-T2000 de Siemens a permis de vérifier d’avance qu’elle présentait les propriétés qui garantissent, entre autres, son immunité aux logiciels malveillants, et en particulier au ver Stuxnet. Par ailleurs le Système de Protection de l’EPR, le plus important des systèmes de sûreté, est développé à partir d’une autre technologie nommée Teleperm XS. Cette technologie d’Areva ne comporte pas les logiciels ciblés par Stuxnet et ses automates de sûreté n’ont aucune interface qui permettrait à un logiciel malveillant de l’infecter.
Commentaires récents