Nous suivre Industrie Techno

"L'Iran a élevé depuis 18 mois son niveau de préparation pour cyber-attaquer des sites industriels", pointe David Grout, de FireEye

Kevin Poireault

Sujets relatifs :

, ,
Soyez le premier à réagir

Soyez le premier à réagir

© FireEye

Alors que les Etats-Unis venaient tout juste d’assassiner le général iranien Qassem Soleimani, le 3 janvier 2020, le patron de l'agence de cybersécurité américaine (CISA), Christopher Krebs, exhortait les industriels du pays à se préparer à une cyber-attaque iranienne ciblant leurs usines. Pour David Grout, directeur technique pour la zone Europe-Afrique-Moyen Orient de la société de cybersécurité FireEye, le danger, s'il est bien réel, n'est pas nouveau. Depuis dix-huit mois, l’Iran est monté en compétences pour rivaliser avec les plus grandes nations dans le cyberespace.

Industrie & Technologies : Le patron de l'agence de cybersécurité américaine a pointé la cyber-menace iranienne sur les réseaux industriels américains. Constatez-vous des attaques ?

David Grout : On ne peut pas témoigner d’un regain d’activités cybermalveillantes véritablement inquiétantes ces derniers jours. Ce qu’on a remarqué depuis l’assassinat de Qassem Soleimani relève plutôt d’actions dans le cyberespace dont le niveau technique requis est peu élevé, comme la création de faux comptes Twitter liés à l’Iran ou le défaçage – soit la modification de l’affichage d’une page web – du site américain du Federal Depositary Library Program. Ces actes sont faciles à mener dans le temps court.

Microsoft et la firme de cybersécurité Dragos ont alerté sur une potentielle attaque iranienne sur les réseaux d’électricité américains, est-ce justifié ?

Clairement, on a vu Advanced Persistent Threat (APT) 33 utiliser, entre juillet et octobre 2019, une vulnérabilité relative aux passerelles de réseaux privés virtuels (VPN), présentée pendant la conférence Black Hat, en août 2019. Lors de cet événement, des chercheurs en sécurité ont révélé qu’un certain nombre de passerelles VPN – parmi lesquelles celles de Fortinet, Palo Alto, Pulse Secure, etc. – étaient faillibles et permettaient à un cyber-assaillant de récupérer des mots de passe.

APT 33 et d’autres groupes de hackers iraniens ont bel et bien utilisé ces mots de passe pour faire du password spraying : ils les ont essayé en masse sur des sites de tous types pour y pénétrer. Mais ces activités sont davantage à mettre sur le compte de la montée en cyber-compétences de l’Iran depuis un an et demi que d’une réaction aux événements qui ont eu lieu ces derniers jours. Contrairement à Dragos et Microsoft, nous ne sommes pas en mesure d’affirmer que les groupes iraniens ciblent des sociétés en Amérique du Nord.

En revanche, nous avons remarqué que, dans les 12 à 18 derniers mois, l’Iran a considérablement élevé son niveau de préparation aux cyberattaques, pour viser à la fois les systèmes d’information classiques (IT) et les systèmes d’information industriels (OT). C’est pourquoi nous avons conseillé à nos clients de hausser leur niveau d’alerte.

Quels éléments vous amènent à penser que l’Iran se perfectionne en cybermalveillance ?

La semaine dernière, une attaque nommée ZéroCleare a touché des industries lourdes, pétrole et gaz, dans des pays du golfe arabique. L’objectif était de détruire des disques durs et le code malveillant, découvert par FireEye au milieu de l’année 2019, ressemble énormément Shamoon, logiciel utilisé lors des attaques contre la compagnie pétrolière saoudienne Saudi Aramco en 2012 et contre l’italienne Saipem en 2018, toutes les deux attribuées à un groupe lié à l’Iran.

En 2019, on a aussi eu la preuve que les groupes APT 33 et 34, probablement liés à l’Iran, ont tenté d’infiltrer des réseaux industriels via l’IT.

Les sites industriels sont donc devenus des cibles…

Certainement. Tout d’abord parce que faire tomber ou suspendre provisoirement l’activité d’un site industriel à davantage d’impact économique que de viser directement les Etats : une attaque telle que Shamoon peut affecter le cours du pétrole, par exemple.

Il semble en outre plus simple de cibler des industries, et notamment celles utilisant du matériel obsolète ou des filiales de grands groupes mal sécurisées, plutôt que des sites gouvernementaux bien mieux protégés. Au-delà des défaçages de petites institutions publiques, il est difficile d’attaquer des sites gouvernementaux majeurs. Enfin, il est bien plus compliqué pour un Etat de répliquer à une cyberattaque ciblant un industriel privé.

Les Etats-Unis sont-ils mieux protégés que les autres pays contre les cyberattaques ?

Les investissements dans la cybersécurité aux Etats-Unis sont parmi les plus importants, dans la sphère privée comme dans les institutions publiques. Néanmoins, il n’est pas une semaine sans que l’on entende parler d’une entreprise américaine touchée par une cyberattaque ou d’une ville ou collectivité territoriale paralysée par un rançongiciel (ransomware).

Du fait de l’hyper-connexion du pays, lorsqu’une institution publique ou privée américaine est touchée, le risque de diffusion du logiciel malveillant est particulièrement élevé. Des attaques touchant les grands acteurs du cloud, comme celle d’il y a quelques mois ou des malwares comme NotPetya il y a deux ans, ont un impact considérable aux Etats-Unis plus qu’ailleurs.

Bienvenue !

Vous êtes désormais inscrits. Vous recevrez prochainement notre newsletter hebdomadaire Industrie & Technologies

Nous vous recommandons

« Que Bpifrance choisisse AWS quand le président de la République réclame la souveraineté numérique, ce n'est pas acceptable ! », assène Frans Imbert Vier (Ubcom)

« Que Bpifrance choisisse AWS quand le président de la République réclame la souveraineté numérique, ce n'est pas acceptable ! », assène Frans Imbert Vier (Ubcom)

La Banque publique d’investissement (Bpifrance) a opté pour la solution cloud d’Amazon pour stocker les données relatives[…]

Cybersécurité : les exfiltrations de données de santé ont doublé avec le Covid-19

Cybersécurité : les exfiltrations de données de santé ont doublé avec le Covid-19

StopCovid : La France prépare une appli plus performante en cas de deuxième vague

StopCovid : La France prépare une appli plus performante en cas de deuxième vague

Pour  bien commencer la semaine, Vega toujours dans les starting-blocks pour son « co-voiturage » spatial

Pour bien commencer la semaine, Vega toujours dans les starting-blocks pour son « co-voiturage » spatial

Plus d'articles