Bipeurs du Hezbollah : la première attaque « cyber » physique d’ampleur
Des bipeurs et talkies-walkies de membres du Hezbollah, le mouvement islamiste libanais, ont explosé les 17 et 18 septembre 2024 au Liban. Ces attaques ont fait 37 morts et quelque 3000 blessés selon le dernier bilan communiqué le 19 septembre par le ministère de la Santé libanais.
Une enquête préliminaire des autorités libanaises montre que ces appareils de communication sans fil ont été piégés avant d’entrer dans le pays, selon une lettre de la mission libanaise à l’ONU consultée jeudi par l’AFP. Leur explosion aurait été provoquée par l’envoi de messages numériques vers l’appareil, selon le texte envoyé au Conseil de sécurité à la veille d’une réunion sur le sujet.
Alors que le Hezbollah a adopté une stratégie low-tech, abandonnant les téléphones portables au profit de moyens de communication plus anciens pour échapper aux technologies de surveillance avancées, il s’agit là d’une faille de sécurité majeure sur la chaîne d’approvisionnement.
Explosion massive à distance
On assiste aujourd’hui à la première attaque “cyber” physique d’ampleur. Au-delà du débat sur le volet géopolitique et humanitaire, il y aura un avant et un après cette opération. Jamais, dans une analyse de risque, je n’avais mis le risque d’explosion massive à distance d’un équipement numérique. La préparation et la logistique pour réaliser cette attaque dépassent clairement ce qu’on a vu auparavant. Pour les spécialistes, c’est du Stuxnet, mais à une autre échelle !
L’analyse du mode opératoire sera nécessaire pour en comprendre la portée. Les pistes sont multiples :
- Piégeage du matériel et du logiciel en amont chez le fabricant ?
- Découverte d’une vulnérabilité exploitable dans les modèles standards de pager ?
- « Juste » une explosion de batterie ou ajout d’une charge plus forte à grande échelle ?
Faille dans la supply chain
Le scénario d’un piégeage lors de la livraison semble le plus probable. À la fois car il permet :
- un ciblage très précis (on n’a pas entendu de cas hors Hezbollah) ;
- l’ajout d’une charge explosive (car les images d’explosion qui circulent ne correspondent pas à une batterie qui va brûler plus qu’exploser) ;
- la modification requise du logiciel pour réagir à un message particulier.
Cette pratique d’interception de livraison est connue et pratiquée déjà par les services de renseignements comme l’avait montré les révélations de Snowden sur la NSA il y a des années. C’est certainement ce qui entraînerait le moins de risque d’explosion pour des personnes hors Hezbollah et serait le moins détectable par le fabricant.
Une organisation milimétrée
Cependant arriver à le faire à cette échelle, sans soupçons, sans détection des explosifs en cas de maintenance ou de contrôle, est le signe d’une organisation millimétrée. Il faut clairement des moyens importants pour imaginer ce scénario et le mettre en œuvre à l’échelle.
Face à la question du temps nécessaire pour modifier chaque équipement (à la fois au niveau logiciel et matériel), qui pourrait en effet être trop long pour passer inaperçu, compte tenu du nombre d’équipements, il existe toutefois une explication simple. L’attaquant a peut-être acheté à l’avance un nombre équivalent de pagers/talkies-walkies, les a modifiés, puis a simplement remplacé les équipements piégés lors de la livraison. Substituer une palette d’équipements par une autre dans un entrepôt ne prend même pas une minute…
Ou alors, comme semble l’indiquer certains éléments à confirmer, il peut s’être inséré encore plus en profondeur dans la chaîne de fabrication, en obtenant une licence et en fabricant des vrais/faux pagers piégés ! Cette affaire remet en cause en profondeur la sécurité de la supply chain et fera certainement revoir de nombreuses analyses de risques pour y intégrer des scénarios autrefois jugés très peu probables.
Les plus lus…
Dans quelles conditions, un lieu de travail n’est-il pas soumis à l’obligation de disposer de places de stationnement aménagées…
Communiqué commun de l'Afrata (Association française de téléassistance), de la FAS (Fédération des ascenseurs), du GPMSE (Groupement des Métiers…
Redoutées par tous, les défaillances de la sécurité privée ne se sont pas produites durant les Jeux olympiques. Bien…
La Dreal Normandie (Direction régionale de l'environnement, de l'aménagement et du logement) a adressé deux mises en demeure le…
La biométrie, l'IA (intelligence artificielle) ou encore le cloud computing seront les technologies émergentes les plus demandées par les…
Les attaques de phishing ont atteint un niveau de sophistication sans précédent en 2024, marquant une nouvelle ère dans…