Nombreux sont les virus, logiciels malveillants (malwares) et attaques informatiques d’ampleur qui jonchent l’histoire d’Internet, et par extension celle de la cybersécurité. Mais le virus connu sous le nom de Triton pourrait être l’un des plus dévastateurs jamais conçus, comme le rapporte la sérieuse Technology Review du MIT.
Les virus sont des programmes informatiques capables d’infecter d’autres programmes ou des systèmes de sécurité en modifiant leur protocole. Ceux-ci peuvent avoir des conséquences variées, allant de la simple destruction de données, à la modification d’interactions provoquant des dysfonctionnements plus importants.
Un code conçu pour « mettre des vies en danger »
Découvert par l’expert australien en cybersécurité, Julian Gutmanis, au mois d’août 2017, Triton, aussi connu sous le nom de Trisis, s’est rapidement fait remarquer en causant des dysfonctionnements importants dans l’infrastructure d’une usine pétrochimique située en Arabie Saoudite.
Celui-ci avait pris Triconex pour cible à distance, un système de sécurité vendu par l’entreprise française Schneider Electric. Ce système permet à un site industriel de s’arrêter en urgence si un problème survient. Fort heureusement, le programme malveillant a pu être détecté à temps et l’attaque interrompue.
Le mode de fonctionnement du virus est le suivant. En introduisant préalablement des codes dans les systèmes gérant la machinerie de l’usine et en imitant le protocole que le poste de travail d’ingénierie utilisait pour communiquer avec les systèmes de sécurité, Triton aurait tout simplement fait en sorte que le système s’éteigne.
En prouvant sa capacité à désactiver les Systèmes Instrumentaux de Sécurité (SIS), Triton permet ainsi aux hackers de provoquer d’éventuels accidents industriels généralisés sans qu’aucune ligne de défense ne puisse les arrêter.
Martin Giles, auteur de l’article du Technology Review, affirme que « c’est la première fois que le monde de la cybersécurité voyait un code délibérément écrit pour mettre des vies en danger ».
Les infrastructures qui utilisent le programme de sécurité « Triconex » seraient donc les plus vulnérables et présenteraient un risque d’autant plus important qu’il s’agit souvent là de sites sensibles. « Ces systèmes de sécurité ne se trouvent pas uniquement dans les usines pétrochimiques, ils sont aussi la dernière ligne de défense à peu près partout, des systèmes de transports aux centrales nucléaires, en passant par les réseaux de traitement de l’eau » précise Martin Giles.
Le programme Triconex est installé sur 15.000 sites industriels dans 80 pays.
Quelles cibles potentielles ?
Alors que de nombreux sites industriels intègrent de plus en plus de connectivité à toutes sortes d’équipements afin de permettre aux travailleurs de les surveiller à distance et de collecter rapidement des données sur leur fonctionnement, cette connectivité semble également proposer d’avantage de cibles potentielles aux pirates, comme le souligne Martin Giles.
Baptisé XENOTIME et actif depuis 2014, le groupe de hackers à l’origine de Triton disposerait d’ailleurs de nombreux moyens, portant ainsi la suspicion sur une agence ou un état, en l’occurrence la Russie. Ces hackers viseraient actuellement des cibles en Amérique du Nord et dans d’autres parties du monde.
L’identité de ce groupe n’est à l’heure actuelle pas vérifiée mais fait l’objet d’une attention accrue de la part de firmes spécialisées en cybersécurité, qui tentent encore de déconstruire ce logiciel malveillant et très sophistiqué afin d’en établir l’origine.
A l’heure ou les tensions entre états se caractérisent de plus en plus par des ingérences informatiques, la présence importante d’installations sensibles et de centrales nucléaires en Europe, dont le fonctionnement et parfois la vétusté sont critiqués, pourraient également représenter de potentielles cibles pour Triton et par extension un risque important pour les citoyens.
Une longue histoire d’attaques
Parmi l’historique des virus célèbres, comment ne pas évoquer Stuxnet, un ver informatique particulièrement puissant découvert en 2010 et conçu par l’Agence de Sécurité Nationale américaine (NSA). Celui-ci s’était propagé en Iran, en Indonésie et en Inde dans le but précis de détruire le réacteur nucléaire iranien de Bushehr. Son impact avait porté un sérieux coup d’arrêt au programme d’enrichissement en uranium du pays, qui ne s’était toutefois pas prononcé sur l’ampleur de son action.
On se souviendra également de Havex, conçu en 2013 pour surveiller les systèmes de contrôle des équipements industriels, afin que les pirates informatiques puissent déterminer comment monter des attaques sur ces mêmes équipements. Le code fonctionnait comme un cheval de Troie, en accédant à distance aux ordinateurs de milliers d’entreprises principalement spécialisées dans les secteurs de l’énergie et de la pétrochimie.
En 2015 et 2016, d’autres chevaux de Troie particulièrement malveillants, repris sous les noms BlackEnergy et CrashOverride, ont été utilisés par des hackers russes pour s’en prendre aux installations et aux réseaux électriques de plusieurs sociétés ukrainiennes, provoquant ainsi d’importantes pannes de courant. Ces logiciels fonctionnaient en collectant des informations sur les systèmes d’opérations d’électricité puis reprenaient les mêmes codes pour en modifier leur comportement.
Voir la newsletter
