En décembre dernier, un opérateur de réseau électrique ukrainien a connu une panne plongeant ses abonnés dans le noir. Comme en 2015, il s’agissait d’une cyberattaque dont on vient d’identifier le coupable : un certain Industroyer !
Particulièrement pernicieux, celui-ci s’attaque à l’informatique qui pilote les centrales. Quels sont les risques dans un monde ultra connecté comme le notre ?
Industroyer : qui es-tu ?
Industroyer serait en effet le malware qui a causé la coupure de courant à Kiev en décembre dernier, en manipulant les ordinateurs qui contrôlent les centrales électriques. Ce malware est unique par son code qui se trouve être particulièrement avancé, et qui par conséquent, n’a pu être développé que par un adversaire très motivé et possédant une certaine connaissance de ce type d’infrastructure.
Industroyer est un malware modulaire ce qui signifie qu’au lieu d'avoir toutes les fonctionnalités du code dans un même fichier exécutable, il va télécharger les autres composant au fur et à mesure. Ce type de malwares est particulièrement pernicieux puisqu’il est capable d’infecter les machines de manière très discrète. Industroyer est de ceux-là. Une fois installé, il communique avec l’infrastructure criminelle qui lui donne des ordres comme par exemple celui d’exécuter une commande qui pourrait saboter un générateur électrique.
Des risques potentiellement catastrophiques
Si instinctivement l’on pense à la gêne occasionnée par une coupure de courant, les risques sont bien différents que l’on soit un particulier, une entreprise ou un service public. Il faut d’abord comprendre qu’une attaque aussi importante ne se limite pas à une coupure localisée dans un quartier. Il s’agit bien d’une privation de service pour des populations entières ! On imagine alors aisément les risques liés à ce malware qui vont du simple inconvénient de confort à l’impact financier. Parfois même, dans l’hypothèse où des hopitaux seraient touchés, ce sont des pertes humaines qui sont en jeu !
Comment se prémunir des prochaines tentatives
Tout laisse penser que l’attaque orchestrée en décembre dernier n’était qu’un test. Elle n’a en effet pas duré très longtemps mais suffisamment pour que les responsables vérifient le bon fonctionnement de leur code contre une véritable cible. Par ailleurs, ce n’est pas la première attaque du genre et on se rappelle DarkEnergy, en décembre 2015. On peut ainsi craindre de nouvelles tentatives de ce genre car l’infrastructure électrique de nombreux pays est vulnérable.
Il faut savoir que l’informatique utilisée par les usines et autres centrales électriques est souvent obsolète. Il s’agit de systèmes développés il y a de nombreuses années, alors que ce genre d’attaques n’était pas aussi courant. D’un point de vue sécuritaire, cela signifie qu’ils sont vulnérables et présentent différentes failles, aussi bien pour s’y connecter qu’une fois à l’intérieur du réseau.
Pour y faire face, le minimum de rigueur consiste à compartimenter, à mettre à jour, et surtout à ne pas brancher les systèmes critiques à l’Internet. Ces premières mesures permettent d’éviter le plus gros des attaques automatisées. Dans un deuxième temps, une défense en plusieurs couches permet de parer aux attaques plus précises, en particulier celles qui requièrent une erreur humaine pour introduire le code malicieux.
Espérons que les exploitants des infrastructures sauront prendre ces mesures avant le black-out total aux portes de l’Europe !