Nous suivre Industrie Techno

Systèmes industriels : le malware Triton, un cas d'attaque sans précédents

Systèmes industriels : le malware Triton, un cas d'attaque sans précédents

L’expert en cybersécurité FireEye vient de publier son dernier rapport sur le malware Triton, le virus détecté en 2017 et capable de tétaniser les sites industriels. Sa source serait un institut de recherche gouvernemental russe situé à Moscou.

La nouvelle est tombée dans la nuit du 24 octobre. Selon l’entreprise américaine de sécurité informatique FireEye, le malware Triton - qui touche les systèmes de contrôle industriels (ou ICS) - avait été déployé par le Central Scientific Research Institute of Chemistry and Mechanics (ou CNIIHM), un établissement de recherche gouvernemental russe situé à Moscou. L’attaque du virus, qui ciblait l'environnement industriel Triconex, dédié à la sécurité industrielle, remonte à décembre 2017, explique David Grout, directeur technique de la région Europe du sud à FireEye : “L'attaque visait le matériel Schneider Electric d’un client dont on ne peut divulguer ni l’identité ni le lieu géographique. Nous avions mené une investigation numérique après qu’il nous ait signalé un incident. Nous avions alors découvert que le malware Triton était en action sur ce matériel dédié à la sécurité des systèmes.” Des articles de presse avaient indiqué comme cible une usine pétrochimique au Moyen-Orient : une affirmation que David Grout met en doute, comme étant une “hypothèse”.

Les chercheurs de FireEye ont suivi les traces techniques laissés par les attaquants au cours des phases de test de Triton. “Une adresse IP ainsi que des informations à l’intérieur du code nous ont guidés vers une certaine personne. En cherchant plus, nous avons déduit qu’elle est en lien direct avec le CNIIHM où elle a été professeur et où elle avait accès au type de matériel nécessaire pour développer et tester un tel malware”, décrit David Grout. Il ajoute que d’autres preuves pointent vers la Russie : des commentaires en cyrillique ou encore les dates de compilation des lignes de codes qui tombent pile dans les plages horaires des bureaux de Moscou, dont certaines ne datent pas d'hier : “Nous avons trouvé des occurrences avec les mêmes adresses IP qui remontent à 2014.” FireEye a surnommé le groupe TEMP.Veles et continue de le surveiller. Il mène une enquête plus poussée sur la stratégie géopolitique orchestrée. Au vu de l’arsenal des moyens techniques exploités, l’implication étatique de la Russie est hautement vraisemblable : “Cela confirme qu’une course aux cyber armes est en cours, prévient David Grout. Nous essayons d’alerter les États, pour qu’ils mettent en place des règles d’engagement relatives, aujourd’hui encore inexistantes.”

Un cas d’école unique du malware informatique industriel

Triton s’inscrit dans une liste de malwares destinés aux usines industrielles : comme Stuxnet, en 2010, dans les centrales nucléaires iraniennes, ou encore les offensives sur l’Ukraine, attribuées à la Russie, avec les malwares BlackEnergy en 2015 et Industroyer en 2017 en causes de coupures électriques. Triton est différent : “Les attaques passées étaient contre l’environnement informatique classique communs aux usines et aux entreprises lambdas, sans cibler le matériel industriel. Triton est le premier cas d’école dédié à viser le matériel comme les robots, les connecteurs, les sondes électriques et électroniques…” Le matériel Schneider Electric infecté avait pour fonction de contrôler le bon fonctionnement en temps réel de l’ensemble du matériel : “Le code malveillant de Triton fausse les informations pour faire croire au contrôleur que tout se passe bien, alors que non, souligne David Grout. Comme le contrôle de la température de l’eau ou sa pression... Les conséquences vont de l’arrêt de l’usine aux dommages physiques ou à une explosion.”

L’envergure de l’attaque de Triton dépasse ses prédécesseurs aussi. Dans le cas de Stuxnet par exemple, le virus s’était faufilé via une clé USB, “tandis que Triton permet d’accéder à une usine depuis l’extérieur, d’où une échelle d’impact plus opérationnelle, hiérarchisée et industrialisée, avec la possibilité de réutiliser cette même méthodologie dans des usines ailleurs dans le monde. Mais toutes les informations sur Triton ont été partagée et chaque entreprise est capable de vérifier par elle-même sa présence, alors on ne s’attend plus à de nouvelles attaques avec ce malware précisément. Toutefois, le risque d’autres cyberattaques sur le milieu industriel en particulier est certain, à court et moyen terme. En atteste le conflit actuel en Ukraine, très touchée ces trois dernières années.

Intissar El Hajj Mohamed

Bienvenue !

Vous êtes désormais inscrits. Vous recevrez prochainement notre newsletter hebdomadaire Industrie & Technologies

Nous vous recommandons

Cybersécurité : les logiciels de détection d'attaque EDR au coeur du partenariat entre Eset et Thales

Cybersécurité : les logiciels de détection d'attaque EDR au coeur du partenariat entre Eset et Thales

Eset, acteur historique du logiciel antivirus, a annoncé ce 20 juin 2019, un partenariat avec Thales. L’occasion pour l’entreprise[…]

25/06/2019 | ThalesCybersécurité
Pour ses dix ans, l'autorité française de la cybersécurité affiche ses ambitions

Pour ses dix ans, l'autorité française de la cybersécurité affiche ses ambitions

Energy Observer, IA médicale, réacteur Iter… les meilleures innovations de la semaine

Energy Observer, IA médicale, réacteur Iter… les meilleures innovations de la semaine

Le Conseil de l’innovation lance deux grands défis sur la cybersécurité et la bioproduction

Le Conseil de l’innovation lance deux grands défis sur la cybersécurité et la bioproduction

Plus d'articles