C’est le genre de malware ultra spécifique et sophistiqué que les chercheurs en sécurité n’aiment pas découvrir dans la e-nature… Pourtant, c’est le cas avec cette nouvelle e-menace d’envergure qui serait capable de s’en prendre à l’ensemble du réseau électrique européen et de le mettre à terre.

La possibilité d’un blackout en Europe, comme cela est déjà arrivé en Ukraine le 17 décembre 2016 et vers Noël 2015, est l’une des pires craintes à ce jour. Des chercheurs des firmes ESET et Dragos Security ont découvert un nouveau type de malware ciblant spécifiquement les infrastructures d’approvisionnement électrique européenne, de manière quasi-automatique et autonome.

Il a jusqu’à maintenant été utilisé qu’à petite échelle et a été conçu de manière à pouvoir infiltrer et saboter presque n’importe quel réseau électrique en Europe. Le scénario catastrophe tant redouté est-il aujourd’hui techniquement possible ?

Après la catastrophe Stuxnet s’en prenant aux centrales nucléaires iraniennes, voici qu’un sérieux concurrent pointe le bout de son nez : il a été baptisé Industroyer / CrashOverride respectivement par les deux firmes l’ayant découvert. La menace est prise très au sérieux et les systèmes SCADA sont clairement visés, comme le démontre les résultats de six mois d’enquête et d’analyse de la cyber-menace. Les chercheurs ont pu démontrer que le malware était capable de s’adapter à tous les types de centrales électriques européennes en cartographiant ses systèmes et réseaux informatiques puis en la sabotant sans intervention humaine distante !

“C’est un cauchemar. En l’état le malware pourrait être utilisé contre n’importe quelle centrale électrique en Europe. Cependant, le malware en l’état n’est pour l’instant capable de créer des pannes régionales seulement, sans réaction en chaîne“, déclare Robert M. Lee, CEO de Dragos Security.

ESET et Dragos Security sont arrivé à une même conclusion : Industroyer / CrashOverride a été conçu depuis un code vierge, sans aucune source rapportée connue. Aucune signature non plus. Seule probabilité évoquée par les chercheurs, de forts soupçons du côté russe, en conflit de longue date avec l’Ukraine, principal pays visé par ce type de cyberattaque jusqu’à présent… Le groupe de hackers gouvernemental russe Electrum est notamment cité. Toute cette histoire fait largement penser à l’excellent roman-fiction Black-Out de Marc Elsberg !

Le point restant à expliquer est comment les concepteur de cette redoutable cyber-arme ont pu accéder à autant de connaissances techniques avancées des centrales électriques européennes : ils en connaissent visiblement chaque recoin ! Le malware s’en prend directement aux systèmes SCADA (Supervisory Control and Data Acquisition) contrôlant informatiquement l’ensemble des équipements industriels. Cela pointe bien entendu du doigt le manque criant de sécurité au sein de ces anciens protocoles équipant les centrales… L’objectif de Industroyer / CrashOverride est de outrepasser ces systèmes et d’accéder au contrôle des disjoncteurs principaux pour couper le courant. Ces derniers sont visés un à un jusqu’à ce que la centrale soit entièrement déconnectée du réseau d’approvisionnement en électricité, et ce, en boucle infinie. Il serait aussi possible d’endommager durablement la centrale visée en bloquant au contraire les disjoncteurs et en empêchant tout délestage lors d’afflux d’énergie vers les transformateurs et les lignes électriques, ce qui provoquerait d’importantes surchauffes.

Ci-dessous, le commentaire de Jérôme Segura, Analyste chez Malwarebytes :

“Industroyer est un type de malware particulièrement dangereux. Il est en effet fait pour attaquer l’infrastructure des réseaux électriques et causer de graves pannes. Le niveau de complexité du code suggère qu’il a été développé par un adversaire sérieux et disposant de grands moyens. Le malware est très modulaire et communique avec un serveur externe pour recevoir des instructions, comme par exemple, saboter une centrale électrique. Malgré tout, il n’a été observé qu’un seul incident isolé en Ukraine jusqu’à présent, ce qui laisserait croire qu’il s’agissait d’une phase de test. La méthode de distribution de ce malware reste inconnue mais on peut craindre que ce genre d’attaques deviennent plus fréquentes dans le futur.”

Cela ne date pas d’aujourd’hui que les experts alertent régulièrement sur ce type de scénario catastrophe. Cette nouvelle découverte accablante prouve tout simplement que le risque et les possibilités techniques existent bel et bien ! Du coup, on peut se poser la question cruciale : quand les systèmes SCADA critiques seront sécurisés et quand une telle catastrophe se produira…

Note : cet article contient un lien affilié Amazon