À l’assaut des réseaux électriques, les hackers affûtent leurs armes (avis d’expert)

L’analyse du malware ayant frappé le réseau électrique ukrainien en décembre 2016 révèle un niveau de sophistication jusque-là inconnu. Elle montre que les assaillants affûtent leurs armes et que l’Ukraine n’était probablement qu’une répétition. Les entreprises doivent passer outre les trompe-l’oeil comme WannaCry et investir dans des solutions pérennes de cybersécurité pour les infrastructures industrielles critiques.

On savait déjà que le système électrique ukrainien avait été piraté à plusieurs reprises en décembre 2015 et décembre 2016. Plusieurs centaines de milliers d’ukrainiens s’étaient d’ailleurs réveillés dans le noir à la veille de Noël. Mais on ignorait encore le détail des moyens employés lors de ces attaques. Des chercheurs en sécurité viennent de publier de nouveaux éléments techniques qui ont été vraisemblablement utilisés en Ukraine.

Répondant au nom de Industroyer/Crashoverride, cette série de malwares révèle des capacités inédites. Comme de nombreux autres, elle est pilotée à distance par son propriétaire, lui permettant de réaliser l’ensemble des opérations qu’il souhaite sur les différents postes infectés. Mais elle contient aussi des capacités spécifiques aux réseaux industriels, permettant des opérations de sabotage très avancées.

WannaCry, la cyberattaque visant les machines Windows non mises à jour (notamment XP), était une opération d’escroquerie à grande échelle. Mais les procédés employés alors tiraient parti de failles bien connues et dont les correctifs étaient déjà disponibles. Industroyer/CrashOverride rentre dans une autre catégorie d’armes numériques sophistiquées et visant les faiblesses intrinsèques des systèmes industriels.

Une arme sophistiquée

Tout d’abord, elle contient des modules de communication pour aller directement se connecter aux stations de pilotage du réseau électrique utilisées sur les réseaux informatiques dans les salles des opérateurs nationaux et régionaux.

Ensuite, ce malware possède d’autres modules pour communiquer directement avec les automates programmables (IED ou RTU) utilisés dans les réseaux électriques. Ils permettent de récupérer l’intégralité des informations disponibles comme la tension ou l’intensité du courant mais surtout de faire disjoncter les différentes sous-stations électriques dispersées sur le territoire ukrainien.

Armés de la sorte, les attaquants ont tous pouvoirs sur le réseau pouvant, à la fois, mener des actions d’exfiltration de données industrielles mais aussi de sabotage en désactivant la communication entre la station de pilotage et les différentes sous stations ou encore en changeant l’état des disjoncteurs des sous stations. Les attaques peuvent aller jusqu’à rendre inopérant les opérateurs, leur retirant les informations de pilotage du process industriel ! Dans le jargon des experts, il s’agit de déni de service, d’exfiltration de données et de déni de visibilité.

Retenez aussi que ce malware contient des fonctions de communication via des bus séries pour les réseaux électriques anciens, mais aussi des protocoles de communication modernes utilisés dans les Smart Grid. Il contient tout l’outillage nécessaire pour mener à bien son attaque une fois mis en place.

Enfin ce malware a aussi un pouvoir destructeur important allant jusqu’à effacer les données de programmation du système industriel et à formater l’intégralité des données des postes de contrôle. L’arsenal est donc complet et permet à la fois de couper le courant mais aussi d’empêcher de le remettre. Dans le cas de l’Ukraine, les techniciens ont dû, parfois dans des situations dangereuses, remettre le courant manuellement.

L’Urkaine n’est qu’une répétition

Si l’on ne connaît pas les détails du mode opératoire utilisé en Ukraine, la découverte et l’analyse des armes numériques utilisées montrent à quel point la menace est réelle. Si certains opérateurs industriels pensent encore être protégés par des spécificités propres à leur installation, ils doivent d’urgence réviser leur position. L’utilisation d’un protocole industriel méconnu, propriétaire ou ancien, n’aide pas à réduire les risques.

En Europe, la directive NIS et en France l’ensemble des lois et décrets sur la protection des OIV imposent aux industriels de mettre en place des mesures de prévention et de surveillance. Les experts, entreprises privées mais aussi autorités publiques, rappellent souvent l’importance de la cybersécurité de nos installations critiques. En France, l’IFRI [1] a publié un rapport détaillant les difficultés inhérentes de ces projets.

Sentryo pense qu’il est impératif d’accélérer leur mise en œuvre dès maintenant au vu des capacités réelles et démontrées des assaillants. Stuxnet, l’attaque perpétrée par les agences de renseignement américaines et probablement israéliennes sur le nucléaire iranien, avait engendré une prise de conscience mondiale. Mais c’était aussi une attaque d’un État contre un autre État. En Ukraine, c’est un groupe criminel qui a attaqué des entreprises les privant d’énergie électrique. Stuxnet était une arme de niveau militaire, Industroyer/CrashOverride est une compilation de toutes les techniques disponibles en source ouverte.

Les menaces se banalisent et les outils se démocratisent. L’Ukraine n’est probablement qu’un terrain de jeu où certains affûtent leurs armes….nous aurons été tous prévenus !

Par Laurent Hausermann, co-fondateur de Sentryo, éditeur de logiciels de cybersécurité des réseaux industriels et de l’IoT.

[1] « Cyberattaques et systèmes énergétiques : faire face au risque » Etudes de l’Ifri, janvier 2017, Gabrielle Desarnaud.

Lire également :

Vinci Energies et Sentryo en duo dans la cybersécurité

Sentryo : « rapprocher cybersécurité et industrie »