Un malware d'un nouveau genre met en danger tout le réseau électrique européen
Les pires craintes se transforment parfois en réalité. Un malware d'un nouveau genre, qui cible les infrastructures d'apprivisionnement électrique, a été détecté par deux entreprises spécialisées : ESET et Dragos Security. S'il n'a été utilisé qu'à petite échelle jusqu'à présent, il a été conçu de manière à pouvoir infiltrer et saboter presque n'importe quel réseau électrique en Europe. Et ce, de manière quasi-automatique. Un scénario catastrophe qui semble malheureusement de plus en plus plausible.
Julien Bergounhoux
Le réseau de distribution d’énergie ukrainien a été touché le 17 décembre 2016 par une cyberattaque d’un nouveau genre. Un peu avant minuit, la station haute-tension de Pivnichna, au nord de Kiev (capitale de l’Ukraine), a complètement disjoncté. Littéralement. Un par un, ses disjoncteurs ont sauté, privant un quartier d’électricité. L’incident n’était pas le résultat d’une panne ou d’un dysfonctionnement, mais d'une action délibérée causée par un malware. Les techniciens ont pu restaurer le service une heure plus tard en coupant les disjoncteurs de leur connexion avec le système informatique.
Ce n’est pas la première fois qu’une centrale énergétique est visée par une attaque informatique : l’est de l’Ukraine avait déjà été frappé par une panne (sur trois installations) peu avant Noël en 2015. 225 000 personnes s’étaient alors vues privées d’électricité en plein cœur de l’hiver. Mais le malware au coeur de cette nouvelle attaque est différent. Il a d'abord été détecté par l'entreprise slovaque ESET, qui a partagé son analyse avec la firme américaine Dragos Security. Cette dernière s’est alors procuré d’autres échantillons du malware. ESET l’a baptisé "Industroyer", amalgame évocateur des mots "industrie" et "destructeur" en anglais. Dragos l’a quant à elle surnommé "CrashOverride".
Une cyber-arme taillée sur-mesure pour saboter des centrales électriques
Après six mois d'enquête, les spécialistes ont découvert qu'il a été conçu pour pouvoir être adapté à n’importe quel type de centrale. Il est capable de cartographier le réseau informatique interne d’une station électrique et de le saboter sans intervention humaine ou presque. Il est ainsi fort probable que l’attaque détectée en décembre dernier n’ait été qu’un test avant une opération de plus grande ampleur. D’après Robert M. Lee, CEO de Dragos Security, "c’est un cauchemar. En l’état le malware pourrait être utilisé contre n’importe quelle centrale électrique en Europe." Et les autres pays, comme les Etats-Unis ou le Canada, ne sont pas totalement hors de danger non plus.
Ce mode de fonctionnement évoque Stuxnet, le malware élaboré par les services de cyberguerre des Etats-Unis et d’Israël pour saboter les centrales nucléaires iraniennes, dont la découverte en 2010 avait fait scandale. Mais contrairement à Stuxnet, "Industroyer" est potentiellement beaucoup plus dangereux, car il peut s’attaquer à un très grand nombre d’infrastructures critiques et avec un impact direct sur la population.
Une provenance (plus ou moins) inconnue
ESET et Dragos concluent tous les deux que le malware a été conçu à partir de zéro, sans se baser sur des malwares préexistants, ce qui rend son attribution difficile. Cependant, l’Ukraine étant régulièrement sous le coup d’attaques informatiques depuis 3 ans, date de son entrée en conflit avec la Russie, il est difficile de ne pas mentionner cette possibilité. Robert M. Lee a indiqué sur Twitter que le groupe criminel ayant utilisé le malware, baptisé "Electrum", aurait des liens avec les responsables de la campagne de piratage Sandworm... qui serait liée au gouvernement russe.
Pour Robert M. Lee, Industroyer est conçu pour créer des pannes à l’échelle régionale et n’est aujourd’hui pas capable de produire une telle réaction en chaîne. Mais il s'inquiète du fait que sa conception ait nécessité une expertise et une connaissance très fine du fonctionnement des réseaux électriques.
Les SCADA sont directement visés
Le malware s’attaque directement au système SCADA (Supervisory Control and Data Acquisition) qui surveille et contrôle de façon centralisée l’ensemble des équipements d’un industriel (généralement répartis sur plusieurs sites). Il tire parti de l’ancienneté des protocoles, qui ne prennent typiquement pas en compte la problématique cybersécurité, pour saboter le fonctionnement des opérations.
Le malware est compatible avec quatre types de protocoles SCADA très répandus en Europe. Lorsqu’il est exécuté, il arrête le processus légitime et en prend la place, déclenchant chaque disjoncteur un par un. Le cycle repart à zéro dès qu’il se termine, ce qui empêche de rétablir le bon fonctionnement de la station même si une commande valide est envoyée séparément. Tous les détails de l’attaque ne sont pas encore connus, mais il est théoriquement possible que cette fonction de blocage des disjoncteurs puisse être utilisée pour les empêcher de couper l’afflux d’électricité vers les transformateurs ou les lignes électriques elles-mêmes tout en les faisant surchauffer... De quoi les endommager irrémédiablement.
En attendant la catastrophe...
Beaucoup d’experts le répètent depuis des années : pour qu’une prise de conscience ait vraiment lieu, il faudra d’abord un incident grave. "Industroyer" prouve que cet instant fatidique se rapproche à grand pas. S’il ne le cause pas directement, il inspirera sûrement celui qui le fera. La seule question en suspens : quand ?
SUR LE MÊME SUJET
3Commentaires
Réagir
