Les cyberattaques emblématiques des systèmes industriels

Un logiciel malveillant (cheval de Troie) est introduit dans le Scada de gestion d’un gazoduc en Sibérie, causant une explosion équivalente à 3 tonnes de TNT. Ce serait la première attaque connue contre un système de contrôle industriel. D’après Thomas C. Reed, ancien conseiller de Ronald Reagan, la CIA aurait délibérément laisser les Soviétiques voler le logiciel trafiqué, qui a déclenché une pression excessive et conduit à l’explosion.

D’après certaines informations, le géant pétrolier russe Gazprom aurait été attaqué à l’aide d’un cheval de Troie déployé sur la plateforme de gestion des pipelines. Cette attaque aurait permis de mettre à l’arrêt le contrôle des flux de gaz pendant quelques heures.

Stuxnet est découvert. Très sophistiqué, ce ver informatique, utilisant plusieurs vulnérabilités zero-day (qui ne font pas encore l’objet de correctif), cible spécifiquement les automates programmables industriels (PLC en anglais) de la marque Siemens gérant les centrifugeuses d’enrichissement d’uranium en Iran. Il modifie la vitesse de rotation des centrifugeuses, tout en masquant ces variations intempestives.

Plus de 900 centrifugeuses auraient été endommagées sur le complexe de Natanz. Attribué aux gouvernements israélien et américain par beaucoup, Stuxnet aurait été développé pour ralentir le programme nucléaire iranien. Les analystes s’accordent à dire qu’il a été introduit au moyen d’une clé USB piégée ou d’un ordinateur portable transporté par un employé. Ce malware a permis de montrer la capacité d’un code malveillant à prendre le contrôle d’une installation physique pour provoquer un casse-matériel.

Une campagne de cyberespionnage vise des industries, essentiellement du secteur énergétique, en Europe et aux États-Unis. Le principal outil d’attaque, le cheval de Troie d’accès à distance Havex, a été inséré dans les mises à jour logicielles de certains fournisseurs de systèmes industriels Scada, disponibles en ligne. Une fois les mises à jour logicielles infectées téléchargées par les clients, Havex a permis un accès à distance pour scanner les serveurs et récolter tout un tas d’informations : mots de passe, contacts Oulook, documents texte, tableurs, bases de données…

En décembre, des hackeurs s’introduisent dans le réseau de trois opérateurs énergétiques en Ukraine. Plus de 200 000 foyers sont privés d’électricité pendant plusieurs heures à cause d’une cyberattaque, une première mondiale. Le cheval de Troie BlackEnergy, implanté grâce à une importante campagne de phishing (hameçonnage) contenant un document Excel infecté, selon Eset, aurait permis aux hackeurs de prendre le contrôle des Scada.

Un an plus tard, toujours en décembre, une autre attaque prive d’électricité plusieurs foyers de Kiev. Le désagrément ne dure qu’une heure, mais le piratage est plus sophistiqué et inquiète les experts par son degré d’automatisation. Le logiciel malveillant, appelé Industroyer (ou CrashOverride), a la capacité d’émettre des messages de commande non autorisés pour « parler » directement aux équipements du réseau et envoyer des ordres techniques pour contrôler directement le flux d’électricité. Des parties du malware pouvaient par ailleurs s’enclencher sans aucun ordre des hackeurs, pour agir à un moment précis.

Des pirates prennent le contrôle du système instrumenté de sécurité d’un site pétrochimique en Arabie saoudite. C’est la mise en sécurité inexpliquée de l’installation, à deux reprises en juin et en août, qui a alerté les opérateurs. Contactée pour mener l’enquête, l’entreprise de sécurité informatique FireEye révélera en décembre l’existence du malware Trisis. Aussi appelé Triton ou HatMan, il cible le système instrumenté de sécurité Triconex de Schneider Electric. Les pirates auraient préparé leur attaque depuis 2014.

Après avoir pénétré le réseau de l’entreprise (IT), ils seraient parvenus à accéder au VPN pour accéder à distance au réseau du site. Avec un mot de passe d’un compte administrateur, ils auraient traversé le sas entre le réseau IT et le réseau industriel OT pour s’installer dans la station d’ingénierie du système instrumenté de sécurité (SIS). C’est la première fois qu’un malware prend le contrôle d’un automate de sécurité, destiné à faire face à des défaillances ou à une panne du système de production.

En janvier, des chercheurs en sécurité rendent public le rançongiciel Snake (ou SnakeHose, ou Ekans), qui cible les systèmes de contrôle industriels et est capable de neutraliser des process ou des services d’équipements industriels, comme les interfaces hommes-machines ou les logiciels de gestion de logs et de sauvegarde. Il aurait notamment ciblé, en juin, le constructeur japonais Honda.

En 2019 déjà, un autre ransomware (LockerGoga) ciblait les systèmes industriels. Il avait notamment causé d’importants dégâts chez le producteur d’aluminium norvégien Norsk Hydro. Mais Snake serait capable d’attaquer encore plus de services utilisés uniquement dans les réseaux industriels.