Actualité web & High tech sur Usine Digitale

Un malware d'un nouveau genre met en danger tout le réseau électrique européen

Twitter Facebook Linkedin Google + Email
×

Les pires craintes se transforment parfois en réalité. Un malware d'un nouveau genre, qui cible les infrastructures d'apprivisionnement électrique, a été détecté par deux entreprises spécialisées : ESET et Dragos Security. S'il n'a été utilisé qu'à petite échelle jusqu'à présent, il a été conçu de manière à pouvoir infiltrer et saboter presque n'importe quel réseau électrique en Europe. Et ce, de manière quasi-automatique. Un scénario catastrophe qui semble malheureusement de plus en plus plausible.

Un malware d'un nouveau genre met en danger tout le réseau électrique européen
Un malware d'un nouveau genre met en danger tout le réseau électrique européen © Philippe Put - Flickr - C.C.

Le réseau de distribution d’énergie ukrainien a été touché le 17 décembre 2016 par une cyberattaque d’un nouveau genre. Un peu avant minuit, la station haute-tension de Pivnichna, au nord de Kiev (capitale de l’Ukraine), a complètement disjoncté. Littéralement. Un par un, ses disjoncteurs ont sauté, privant un quartier d’électricité. L’incident n’était pas le résultat d’une panne ou d’un dysfonctionnement, mais d'une action délibérée causée par un malware. Les techniciens ont pu restaurer le service une heure plus tard en coupant les disjoncteurs de leur connexion avec le système informatique.

 

Ce n’est pas la première fois qu’une centrale énergétique est visée par une attaque informatique : l’est de l’Ukraine avait déjà été frappé par une panne (sur trois installations) peu avant Noël en 2015. 225 000 personnes s’étaient alors vues privées d’électricité en plein cœur de l’hiver. Mais le malware au coeur de cette nouvelle attaque est différent. Il a d'abord été détecté par l'entreprise slovaque ESET, qui a partagé son analyse avec la firme américaine Dragos Security. Cette dernière s’est alors procuré d’autres échantillons du malware. ESET l’a baptisé "Industroyer", amalgame évocateur des mots "industrie" et "destructeur" en anglais. Dragos l’a quant à elle surnommé "CrashOverride".

 

Une cyber-arme taillée sur-mesure pour saboter des centrales électriques

Après six mois d'enquête, les spécialistes ont découvert qu'il a été conçu pour pouvoir être adapté à n’importe quel type de centrale. Il est capable de cartographier le réseau informatique interne d’une station électrique et de le saboter sans intervention humaine ou presque. Il est ainsi fort probable que l’attaque détectée en décembre dernier n’ait été qu’un test avant une opération de plus grande ampleur. D’après Robert M. Lee, CEO de Dragos Security, "c’est un cauchemar. En l’état le malware pourrait être utilisé contre n’importe quelle centrale électrique en Europe." Et les autres pays, comme les Etats-Unis ou le Canada, ne sont pas totalement hors de danger non plus.

 

Ce mode de fonctionnement évoque Stuxnet, le malware élaboré par les services de cyberguerre des Etats-Unis et d’Israël pour saboter les centrales nucléaires iraniennes, dont la découverte en 2010 avait fait scandale. Mais contrairement à Stuxnet, "Industroyer" est potentiellement beaucoup plus dangereux, car il peut s’attaquer à un très grand nombre d’infrastructures critiques et avec un impact direct sur la population.

 

Une provenance (plus ou moins) inconnue

ESET et Dragos concluent tous les deux que le malware a été conçu à partir de zéro, sans se baser sur des malwares préexistants, ce qui rend son attribution difficile. Cependant, l’Ukraine étant régulièrement sous le coup d’attaques informatiques depuis 3 ans, date de son entrée en conflit avec la Russie, il est difficile de ne pas mentionner cette possibilité. Robert M. Lee a indiqué sur Twitter que le groupe criminel ayant utilisé le malware, baptisé "Electrum", aurait des liens avec les responsables de la campagne de piratage Sandworm... qui serait liée au gouvernement russe.

 

Pour Robert M. Lee, Industroyer est conçu pour créer des pannes à l’échelle régionale et n’est aujourd’hui pas capable de produire une telle réaction en chaîne. Mais il s'inquiète du fait que sa conception ait nécessité une expertise et une connaissance très fine du fonctionnement des réseaux électriques.

 

Les SCADA sont directement visés

Le malware s’attaque directement au système SCADA (Supervisory Control and Data Acquisition) qui surveille et contrôle de façon centralisée l’ensemble des équipements d’un industriel (généralement répartis sur plusieurs sites). Il tire parti de l’ancienneté des protocoles, qui ne prennent typiquement pas en compte la problématique cybersécurité, pour saboter le fonctionnement des opérations.

 

Le malware est compatible avec quatre types de protocoles SCADA très répandus en Europe. Lorsqu’il est exécuté, il arrête le processus légitime et en prend la place, déclenchant chaque disjoncteur un par un. Le cycle repart à zéro dès qu’il se termine, ce qui empêche de rétablir le bon fonctionnement de la station même si une commande valide est envoyée séparément. Tous les détails de l’attaque ne sont pas encore connus, mais il est théoriquement possible que cette fonction de blocage des disjoncteurs puisse être utilisée pour les empêcher de couper l’afflux d’électricité vers les transformateurs ou les lignes électriques elles-mêmes tout en les faisant surchauffer... De quoi les endommager irrémédiablement.

 

En attendant la catastrophe...

Beaucoup d’experts le répètent depuis des années : pour qu’une prise de conscience ait vraiment lieu, il faudra d’abord un incident grave. "Industroyer" prouve que cet instant fatidique se rapproche à grand pas. S’il ne le cause pas directement, il inspirera sûrement celui qui le fera. La seule question en suspens : quand ?

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

3 commentaires

RENAUX

14/06/2017 16h46 - RENAUX

relisez " BLACK OUT" le roman de Marc ELSBERG, dispo chez J'ai Lu en poche http://www.livredepoche.com/sites/default/files/styles/cover_book_focus/public/media/imgArticle/LGFLIVREDEPOCHE/2016/9782253098690-001-T.jpeg?itok=LZHHp-pz

Répondre au commentaire | Signaler un abus

Serge

13/06/2017 11h54 - Serge

Est-ce que cela peut affecter les centrales nucléaires ? Le potentiel de dangerosité serait alors énorme.

Répondre au commentaire | Signaler un abus

Devoirdereserve

15/06/2017 11h42 - Devoirdereserve

Il arrive de temps en temps que des centrales nucléaires soient coupées brutalement du réseau : tempêtes, orage, malveillance. En imaginant que le transformateur principal soit accessible de l'extérieur (ce que je ne sais pas), le déconnecter entraînerait une suite d'actions automatiques appelée "îlotage" : le réacteur se coupe littéralement du monde, un certain nombre de dispositifs de secours démarrent, on évacue la vapeur au lieu de l'envoyer à la turbine (ouverture des circuits GCT). Définition îlotage par l'ASN : https://www.asn.fr/lexique/mot/(lettre)/95491/(mot)/Ilotage/(id)/95513 Un exemple d'incident d'îlotage du à un conflit social : https://www.asn.fr/Controler/Actualites-du-controle/Avis-d-incident-des-installations-nucleaires/Ilotage-provoque-des-deux-reacteurs-Reacteurs-n-1-et-2 Sur les circuits : http://eduscol.education.fr/sti/sites/eduscol.education.fr.sti/files/seminaires/201/201-circuit-secondaire-poste-deau.pdf

Signaler un abus

media

Les cookies assurent le bon fonctionnement de nos sites et services. En utilisant ces derniers, vous acceptez l'utilisation des cookies.OK

En savoir plus
Suivez-nous Suivre l'Usine Digitale sur twitter Suivre l'Usine Digitale sur facebook Suivre l'Usine Digitale sur Linked In RSS Usine Digitale