L’éditeur de sécurité ESET a découvert un nouveau malware appelé « Industroyer » spécialement conçu pour s’attaquer aux infrastructures d’approvisionnement électriques, mais apte à s’adapter à tout système de contrôle industriel. Le malware a pour objectif d’accéder à ces systèmes en tirant parti de leurs protocoles de contrôle encore peu sécurisés. Une très grande menace selon les spécialistes en sécurité.
L’analyse de ce malware, déjà utilisé lors d’une cyberattaque contre le réseau de distribution d’énergie Ukrainien en décembre 2016, laisse envisager une nouvelle fois l’hypothèse d’un scénario catastrophe pour les infrastructures électriques européennes… “Ce malware nous renvoie vers les craintes que nous avons eues à l’époque du ver Stuxnet “, rappelle Arnaud Cassagne, directeur des Opérations de l’intégrateur et prestataire IT Newlode. Christophe Jolly, directeur France de Vectra Networks : “Ce malware ressemble fortement au malware Black Energy qui a paralysé le réseau électrique Ukrainien en 2016″. Anton Cherepanov, Senior Malware Researcher chez ESET, prévient : “Depuis Stuxnet qui a attaqué avec succès le programme nucléaire iranien en 2010, aucun autre malware n’était arrivé à ce niveau technique”. Ce malware est “probablement impliqué dans l’attaque BlackEnergy de décembre 2016, qui avait privé d’électricité une partie de la capitale ukrainienne durant une heure”, précise-t-il.
Des protocoles vieux de plusieurs dizaines d’années
Les infrastructures sensibles sont-elles suffisamment protégées ? “Cette attaque doit servir d’avertissement sérieux pour tous les responsables de sécurité des systèmes critiques, et ce à l’échelle mondiale“, indique Anton Cherepanov, suggérant que le malware qui a touché l’Ukraine pourrait bien être un bêta test possiblement suivi d’une attaque plus vaste… “Ce type de malware est modulable – et donc capable de muter rapidement – ce qui implique une vraie difficulté pour tenir à jour les bases de signatures pour certains outils. Il utilise un command & control sur ToR et communique vers l’extérieur toutes les heures pour tenter d’échapper à la détection manuelle”, soutient Christophe Jolly. Le responsable de Vectra Networks assure donc que les entreprises doivent opter pour des solutions d’intelligence artificielle qui permettent “de surveiller les réseaux en 24/7, 365 jours par an et ainsi de détecter les command & control cachés dans le trafic ToR”.
Pour Arnaud Cassagne, beaucoup d’entreprises ne sont pas en mesure de détecter ce type de malware. Il prône la mise en place de mécanismes de sécurité novateurs, “basés sur de l’analyse comportementale par exemple”. Le niveau de sécurité, “encore bien trop faible de certaines infrastructures sensibles, affirme-t-il, est une source d’inquiétude aujourd’hui pour les professionnels. Une telle menace pourrait vraiment mener aujourd’hui à une catastrophe. Ces infrastructures, qui ne peuvent pas être arrêtées pour des opérations de maintenance pour la plupart, utilisent encore des composants antédiluviens, des systèmes d’exploitation désuets, et sont dépourvues de mécanisme de protection digne de ce nom.” Le problème, indiquent les chercheurs, est que les protocoles utilisés ont été pensés voici des dizaines d’années quand les systèmes étaient isolés, fermés, et qu’ils n’étaient pas reliés à Internet.
Csaba Krasznay, Security Evangelist chez Balabit, renchérit : “Les SCADA [NDLR : systèmes de contrôle industriels] demeurent trop peu sécurisés alors que les malwares ciblant les SCADA – plus ou moins dangereux – se multiplient. L’Union Européenne a pris conscience de cette menace et a présenté sa directive NIS, mais son introduction en 2018 et les 5 à 10 années suivantes de mise en œuvre pourraient être trop longues pour traiter ces menaces. Des nouvelles technologies de type analyse comportementale, devraient/pourraient être introduites rapidement dans les infrastructures industrielles pour aider à détecter ces menaces”.
Qui est derrière ce malware ?
Pour Tanguy de Coatpont, directeur général de Kaspersky Lab France, le malware décrit dans le rapport d’ESET “semble être extrêmement sophistiqué, le fruit d’investissements technologiques significatifs et d’une connaissance profonde du fonctionnement des systèmes industriels. Il vient rappeler, de la plus concrète des façons, à toutes les entreprises qui opèrent un système de contrôle industriel, qu’elles doivent vérifier et mettre à niveau leur sécurité de toute urgence.”
Csaba Krasznay soutient qu’il “est probable que les attaquants derrière le malware Industoyers soient parrainés par un Etat et qu’ils aient donc d’importants moyens”. Arnaud Cassagne évoque, lui, plus généralement l’implication de certains pays dans ce type d’attaques, ce qui lui semble “très inquiétant”. Avant d’ajouter : “Certains Etats n’hésitent plus à mettre à disposition des moyens techniques, financiers ou bien encore humains pour mettre au point des cyberattaques d’ampleurs. La France s’est dotée d’un quatrième corps d’armées il y a quelques temps, et c’est surement mieux ainsi…” Christophe Jolly parle de “cybercriminels de très haut niveau”, et précise qu’à ce stade il est “difficile de l’attribuer à un groupe en particulier”. Mais un article du Washington Post, daté du lundi 12 juin, évoque le groupe Electrum que le cabinet de cybersécurité Dragos a identifié comme l’attaquant, en lien avec le gouvernement russe, utilisant selon le cabinet les mêmes dispositifs que les pirates informatiques derrière l’attaque du réseau électrique de l’Ukraine…
Comment fonctionne Industroyer ?
Selon les chercheurs d’ESET, Industroyer prend le contrôle d’interrupteurs et de disjoncteurs électriques. Pour y parvenir, il se sert des protocoles de communication industriels utilisés dans le monde entier par les infrastructures d’alimentation électrique, les systèmes de contrôle du transport et d’autres infrastructures ou architectures de type SCADA. “Potentiellement, cette attaque peut désactiver la distribution d’électricité, déclencher des pannes et même causer des préjudices importants aux équipements“, indique l’éditeur.