Nous suivre Industrie Techno

CYBERSECURITE : LE SECTEUR ÉNERGÉTIQUE SOUS TENSION

Séverine Fontaine
CYBERSECURITE : LE SECTEUR ÉNERGÉTIQUE SOUS TENSION

Les cyberattaques ne ciblent pas seulement les données. Dernièrement, des infrastructures énergétiques ont été visées par Dragonfly 2.0. Un rapport de Symantec révèle la sophistication de ce logiciel malveillant et lance l'alerte.

Et si, du jour au lendemain, tous les systèmes d'énergie étaient piratés et coupés... ? Apocalyptique et inutilement angoissant, ce scénario ? Pas si sûr. De nombreux acteurs de la cybersécurité rappellent périodiquement que certains organismes d'importance vitale (OIV), dont font partie les infrastructures servant à la production et à la distribution d'énergie, peuvent tout à fait être la cible de cyberattaques. « Le secteur de l'énergie est devenu un domaine d'intérêt croissant pour les cyberattaques au cours des deux dernières années », affirme la société américaine de sécurité informatique Symantec, dans un rapport inquiétant, publié en septembre.

En décembre 2015 et en décembre 2016, une partie de l'Ukraine s'est ainsi brièvement retrouvée plongée dans le noir. « Ces perturbations ont été attribuées à une cyberattaque. Elles ont provoqué des pannes de courant affectant des centaines de milliers de personnes. » Un groupe de hackers avait réussi, à l'aide du logiciel Industroyer - également appelé Crash Override -, à faire sauter les disjoncteurs des transformateurs des sous-stations de réseaux électriques et à couper l'électricité sortante [voir schéma page 9].

Et ce n'est peut-être qu'un début. Une autre série d'attaques, imputables au groupe Dragonfly, également connu sous le nom d'Energetic Bear, et susceptibles de permettre aux attaquants de prendre la main sur des équipements physiques, ont été analysées par Symantec. Les hackers avaient lancé leur première opération dès 2011, avant de récidiver fin 2015. Leur dernière attaque, baptisée Dragonfly 2.0, reprend les mêmes stratégies et outils que ceux mis en place lors des campagnes précédentes. À savoir, la tactique « d'attaque persistante », ou « Advanced persistent threat » (APT), qui consiste à s'installer progressivement dans un système pour en prendre le contrôle.

Augmentation des menaces persistantes

Selon Symantec, « Dragonfly 2.0 utilise une variété de vecteurs d'infection dans le but d'accéder au réseau de la victime : courriels d'hameçonnage, chevaux de Troie et points d'eau » [lire ci-contre]. « Plutôt que de cibler frontalement la victime en s'en prenant directement à son infrastructure informatique, ce type d'attaque débute plus subtilement par une campagne d'hameçonnage ciblée ou en utilisant la tactique du point d'eau, ajoute Frédéric Saulet, le directeur régional Europe du Sud de LogPoint, un éditeur de logiciels Siem. Cette dernière méthode s'inspire de la chasse à l'affût, dans laquelle les chasseurs se postent près d'un point d'eau qu'ils savent fréquenté par leurs proies. Leur but est de voler les informations d'identification des utilisateurs. »

Les courriels envoyés lors de campagnes ciblées, de 2016 à 2017, comportaient des contenus très spécifiques liés au secteur de l'énergie, ainsi qu'à certaines préoccupations commerciales générales, révèle le rapport de Symantec. « Une fois ouvert, le document attaché tente, semble-t-il, de transférer les informations d'identification du réseau des victimes sur un serveur en dehors de l'organisation ciblée. »

Les hackers ont aussi utilisé des « portes dérobées », ou « backdoors », sur les sites internet afin de récolter des informations d'identification réseau. Il s'agit d'attaques en deux temps, consistant d'abord à compromettre les sites internet susceptibles d'être visités par les acteurs du secteur de l'énergie, puis à les utiliser contre les organisations dont ils font partie.

Le rapport de Symantec alerte sur l'augmentation de ces menaces persistantes, qui cherchent aussi bien à s'en prendre à des installations physiques qu'à recueillir uniquement des informations sur le fonctionnement des systèmes de contrôle. Ce type d'attaque se déroule en plusieurs étapes. L'attaquant débute par une reconnaissance de l'écosystème de l'entreprise visée, via des techniques dites d'ingénierie sociale, qui visent à manipuler les utilisateurs en anticipant certains de leurs comportements. Il s'introduit ensuite furtivement dans les systèmes cibles en envoyant une campagne de courriers électroniques malveillants, comprenant un cheval de Troie, un vecteur permettant de transporter un « parasite ». Ensuite, le hacker met en place ce parasite, par exemple une porte dérobée, pour récupérer des droits d'accès vers d'autres systèmes internes, installer des outils pour l'extraction de données et, enfin, s'adapter à l'écosystème et ses détecteurs afin de préserver ses acquis. « La plupart des APT ont pour but l'exfiltration de données pour le renseignement ou l'espionnage », confie Julien Menissez, chef de produit chez Airbus Cybersecurity. « Dans le secteur énergétique, ces attaques pourraient aussi être dirigées par des nations. »

Sécuriser les systèmes critiques

Airbus Cybersecurity travaille avec beaucoup de gestionnaires d'OIV, dont les grands parcs informatiques se révèlent souvent difficiles à mettre à jour. « La réémergence de Dragonfly prouve que les vulnérabilités associées à des systèmes Scada "périmés" - parce qu'ils n'ont pas été conçus pour disposer d'une sécurisation adaptée au paysage récent des menaces - constituent un danger à prendre très au sérieux », confirme Frédéric Saulet, de LogPoint.

Comment faire face à ce défi et sécuriser ces systèmes industriels ? « Il faudrait soit ne pas connecter ces anciens systèmes à internet, soit ne pas brancher de clés USB [vecteurs, en 2008, de l'attaque Stuxnet sur des centrifugeuses iraniennes, ndlr], soit installer des équipements de protection capables de détecter une menace en ligne. On a beaucoup entendu parler de grands industriels attaqués, mais comme beaucoup d'autres entreprises qui utilisent des systèmes non mis à jour. Et pour cause : si le sinistre coûte 100 000 euros et que la mise à jour des ordinateurs sous Windows revient beaucoup plus cher, les entreprises font vite le calcul. »

La loi de programmation militaire du 18 décembre 2013 oblige toutefois les OIV à prendre certaines mesures de protection, comme l'installation d'une sonde souveraine permettant de bloquer les attaques avancées avant qu'elles n'arrivent au coeur du système. « Les OIV soumis à ces clauses vont devoir contacter des prestataires qualifiés », précise Julien Menissez. Les éléments de défense se mettent donc peu à peu en place pour éviter le scénario noir du black-out total.

TROIS TECHNIQUES D'ATTAQUE

L'HAMEÇONNAGE Envoi d'un e-mail pour inciter le destinataire à renseigner ses identifiants sur une page web connue, mais infectée. LE CHEVAL DE TROIE Insertion dans un logiciel en apparence légitime d'une fonctionnalité malveillante transportant un parasite (virus, backdoor, ver...). LE POINT D'EAU Piratage d'un site légitime fréquenté par les employés de la société cible dans le but d'infecter leurs ordinateurs.

Du piratage au black-out

En Ukraine, des pirates ont adressé à des destinataires ciblés des e-mails infectés pour s'introduire dans le système informatique de contrôle du réseau électrique et y mettre en place une porte dérobée, afin de récupérer les droits d'accès. Ils sont ensuite restés infiltrés et se sont introduits de plus en plus dans le réseau, jusqu'à prendre le contrôle des disjoncteurs d'une sous-station. En décembre 2016, ils ont ainsi provoqué l'interruption de la distribution d'électricité pendant une heure.

vous lisez un article d'Industries & Technologies N° 1003

Découvrir les articles de ce numéro Consultez les archives 2017 d'Industries & Technologies

Bienvenue !

Vous êtes désormais inscrits. Vous recevrez prochainement notre newsletter hebdomadaire Industrie & Technologies

Nous vous recommandons

Energy Observer met les voiles vers le nord de l'Europe

Energy Observer met les voiles vers le nord de l'Europe

Le 18 avril, le bateau Energy Observer s’est équipé d’ailes Oceanwings pour aller plus vite et produire de[…]

[Reportage] Dernière ligne droite avant l'arrivée du réacteur d'Iter

[Reportage] Dernière ligne droite avant l'arrivée du réacteur d'Iter

Navette autonome, laser ultra-puissant, vie des batteries… les meilleures innovations de la semaine

Navette autonome, laser ultra-puissant, vie des batteries… les meilleures innovations de la semaine

Longévité des batteries, Microsoft IA, laser ultra-puissant… les innovations qui (re)donnent le sourire

Longévité des batteries, Microsoft IA, laser ultra-puissant… les innovations qui (re)donnent le sourire

Plus d'articles