Un virus informatique conçu pour s’attaquer aux infrastructures d’approvisionnement électrique : l’idée semble tout droit issue du scénario d’un techno-thriller hollywoodien… et pourtant, la réalité rejoint ici la fiction. Les sociétés informatiques de cyber-sécurité Eset et Dragos Security ont en effet annoncé la découverte d’un nouveau malware spécifiquement développé pour perturber le bon fonctionnement des réseaux électriques. Il ne s’agirait pas que d’une menace potentielle : ce virus a déjà sévi en Ukraine en décembre dernier. Explications.

Une attaque informatique en Ukraine en décembre 2016

Les chercheurs en sécurité informatique des sociétés Eset et Dragos Security ont publié au début du mois de juin un dossier consacré à un puissant logiciel malveillant baptisé Industroyer (ou Crash Override). Cet outil d’attaque sophistiqué vise à provoquer des défaillances importantes sur les réseaux de distribution d’électricité : les sociétés à l’origine de sa découverte estiment qu’il s’agirait de l’outil de sabotage d’installations physiques le plus élaboré de l’histoire de la cybercriminalité.

C’est le 17 décembre dernier, à la suite d’une cyberattaque dont l’origine est toujours inconnue, que le malware Industroyer touche le réseau de distribution d’énergie d’Ukraine. En provoquant l’arrêt de la station haute-tension de Pivnichna, au nord de Kiev, il perturbe le fonctionnement du réseau de la capitale ukrainienne et force les techniciens à couper les disjoncteurs de leur connexion avec le système informatique.

C’est cependant grâce à cette attaque que le malware a pu être si bien étudié : les chercheurs de la société Eset sont en effet parvenus à récupérer des échantillons d’Industroyer sur les réseaux ukrainiens. Et c’est en partenariat avec la société Dragos, spécialisée dans la sécurité des systèmes industriels, que l’étude du logiciel malveillant a été menée.

Perturber un réseau électrique

La dangerosité de ce nouveau virus provient du fait qu’il exploite le décalage existant entre des installations mises au point il y a des dizaines d’années (à une période où les systèmes industriels étaient déconnectés) et les protocoles de communication actuels. « Cela signifie que les assaillants n’ont pas eu à chercher des vulnérabilités dans les protocoles ; tout ce qu’ils ont eu à faire est d’apprendre à leur malware à parler dans ces langages », expliquent les scientifiques de la société Eset.

Plus concrètement, Industroyer permet à des hackers de prendre le contrôle de certaines centrales et relais électriques afin de provoquer des pannes géantes en déstabilisant un réseau. Son (ou ses) utilisateur(s), qui opère(nt) en dehors des heures de bureau pour rester discret(s), utilise(nt) un réseau décentralisé et anonyme pour faire passer leurs instructions. Il s’avère qu’Industroyer a été spécifiquement développé pour perturber les systèmes industriels, et non à des fins d’espionnage.

« Le malware renferme quelques autres fonctionnalités conçues pour lui permettre de rester sous le radar, assurer la persistance de la souche sur les systèmes infectés et effacer toute trace une fois le travail effectué », précise également le dossier consacré à Industroyer.

Des opérateurs préparés à ce genre d’attaques

Après 6 mois de recherches, Eset et Dragos Security ne sont pas en mesure de garantir la provenance du malware. Ils estiment cependant qu’il existe des liens de parenté entre Industroyer et le virus Stuxnet utilisé par le groupe Sandworm… proche du gouvernement russe. Ce groupe de hackers est notamment accusé d’avoir mené des attaques informatiques dans le secteur énergétique américain et d’avoir mené des opérations d’espionnage de diplomates en lien avec l’Ukraine.

Contrairement à Stuxnet, dont la base était définitive, Industroyer se présente comme un virus plus modulaire et donc capable de s’adapter à de nouveaux équipements et systèmes. Le malware pourrait donc être « immédiatement adapté » pour porter préjudice à des réseaux « en Europe et dans une partie du Moyen-Orient et de l’Asie ».

Mais les deux sociétés se veulent cependant rassurante. « Le public doit comprendre que les pannes peuvent se mesurer en heures ou en jours, mais pas en semaines ou en mois. Les opérateurs du réseau électrique s’entraînent régulièrement à restaurer le courant après des événements d’amplitude comparable, comme des tempêtes ». En d’autres termes, les équipes en charge d’opérer les centrales sont préparées à faire face à ce genre de situation et finiraient forcément par reprendre la main sur le réseau.

Si l’avènement des nouvelles technologies de l’information et de la communication ont amené la promesse d’un monde meilleur, il existe cependant un revers à cette médaille. L’émergence de cette cybercriminalité donne ainsi une occasion à l’histoire de nous rappeler que « science sans conscience n’est que ruine de l’âme ».