La coupure d’électricité provoquée à distance par des hackers en cliquant sur un bouton est un scénario bien connu des films hollywoodiens. Mais c’est désormais une réalité que les pays doivent prendre en compte et contre laquelle ils doivent s’armer.
L’Ukraine avait en effet annoncé le 31 décembre dernier le lancement d’une enquête pour vérifier si une cyberattaque était à l’origine de la panne qui a privé d’électricité près de 1,5 million d’Ukrainiens le 23 décembre 2015. Or selon plusieurs cabinets d’experts en sécurité informatique cités par Ars Technica, c’est bien un malware qui aurait infecté le réseau du fournisseur Prykarpattya Oblenergo, dans l’ouest du pays, à Ivano-Frankivsk. Il aurait été activé pour couper les lignes, ce qui est une première.
Ivano-Frankivsk
« C’est une étape clé parce que nous avions bien vu des événements ciblés destructeurs contre l’énergie auparavant — tels que des industries pétrolières —, mais jamais d’événement qui provoque un blackout », explique au site John Hultquist, un cadre de la firme iSIGHT Partners qui affirme avoir découvert des souches du malware chez trois fournisseurs régionaux d’énergie en Ukraine.
Ses dires sont confirmés par le cabinet ESET, qui précise que des installations ukrainiennes auraient été infectées par une version mise à jour de BlackEnergy, un malware à modules découvert pour la première fois en 2007. Entre autres fonctionnalités, BlackEnergy permet d’effacer le secteur de boot d’un disque dur pour empêcher le redémarrage du système d’exploitation, et peut effacer des données voire rendre inutilisable un disque dur, grâce au module KillDisk ajouté récemment. Il offre aussi un backdoor avec un shell SSH qui donne aux assaillants un moyen d’accéder aux ordinateurs infectés et d’en prendre le contrôle.
Le trojan Blackenergy dans un document Excel
Plus grave peut-être, le malware intègre aussi un module permettant d’avoir accès aux systèmes de contrôle et d’acquisition de données (SCADA), utilisés par les industries pour piloter leurs installations.
Selon ESET qui a publié un billet de blog pour faire part de ses découvertes, KillDisk aurait en effet été mis à jour pour saboter deux processus, dont le système Eltima qui permet de piloter via une interface Ethernet des appareils connectés en ports série. Même si le cabinet se garde d’affirmer que c’est bien ce malware qui est à l’origine de la panne, il prévient que sa découverte sur les réseaux des fournisseurs d’énergie rend ce scénario sinon probable, au moins possible.
Le plus surprenant et affligeant et que l’attaque aurait été réalisée en infectant les machines grâce à des macros dans des documents Microsoft Office,envoyés par e-mail à des cibles identifiées. Pour flouer les destinataires, un e-mail paraissait provenir du Parlement, et contenait un message encourageant à ouvrir le document vérolé.
En 2014, le même trojan BlackEnergy avait été découvert sur des ordinateurs de l’administration et de médias ukrainiens, au moment des élections. Son créateur, un groupe de hackers sophistiqué que iSIGHT appelle le « gang Sandworm », aurait des liens avec la Russie, même si aucune preuve n’existe pour l’affirmer.
Par le passé, le même groupe avait attaqué l’OTAN et différents sites industriels européens.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Marre des réseaux sociaux ? Rejoignez-nous sur WhatsApp !
