International
hacker

Pipedream, nouveau malware le plus dangereux au monde

Un nouveau malware menace les systèmes de contrôle industriels. Il s'agit d'une cyberarme qui n'a pas encore été utilisée mais qui pourrait faire de gros dégâts.
Un nouveau malware menace les systèmes de contrôle industriels. Il s'agit d'une cyberarme qui n'a pas encore été utilisée mais qui pourrait faire de gros dégâts.image: watson/shutterstock

Ce nouveau malware est le plus dangereux au monde, voici ce qu'il faut savoir

Découvert récemment, ce logiciel menace notamment les centrales électriques au gaz liquéfié. Cet article s'articule autour des principales questions et réponses concernant «Pipedream». Et cela n'a rien d'un rêve.
16.04.2022, 07:59
Daniel Schurter
Daniel Schurter
Daniel Schurter
Suivez-moi
Plus de «International»

Des systèmes industriels vitaux, dits «critiques», sont menacés par un nouveau type de maliciel. Les autorités américaines, appuyées par des rapports alarmants de deux entreprises de cybersécurité, ont récemment donné l'alerte.

«Pipedream est une menace claire et bien réelle pour les systèmes de contrôle industriels, mettant en danger leur fonctionnement et des vies humaines»
Société de sécurité informatique Dragos

Que s'est-il passé?

L'alerte du gouvernement américain de mercredi fait froid dans le dos. Un nouveau logiciel malveillant a été découvert. Celui-ci est capable de manipuler des systèmes de contrôle industriels et de détruire des installations. Avec des conséquences potentiellement dévastatrices allant jusqu'à la perte de vies humaines (plus d'informations ci-dessous).

L'avertissement commun provient des grandes organisations suivantes:

  • Le ministère américain de l'énergie
  • CISA: l'agence de cybersécurité et de sécurité des infrastructures du ministère de la Sécurité intérieure
  • FBI: la police fédérale américaine
  • NSA: National Security Agency

La société de cybersécurité Dragos, qui a étudié le malware, indique que l'une de ses propriétés est sa capacité à désactiver les systèmes d'arrêt d'urgence industriels.

Et la société de cybersécurité Mandiant, qui a également participé à l'enquête, explique que le malware est «le plus grand risque pour l'Ukraine et les autres nations qui ont réagi à l'invasion russe.»

L'alerte a été lancée un jour après la découverte de «Industroyer2», une autre cyberarme détectée en Ukraine. Elle serait l'œuvre du groupe de piratage d'élite russe Sandworm. Ce malware aurait, selon les experts en sécurité, paralysé l'approvisionnement en électricité.

Ce malware est-il vraiment si dangereux?

Oui.

Mandiant et Dragos, deux entreprises américaines de cybersécurité renommées, ont analysé le malware et ont également publié des rapports à ce sujet mercredi.

Ce qui pourrait prêter à confusion: Mandiant appelle le nouveau malware «Incontroller». De son côté, Dragos utilise le terme «Pipedream». En ce qui concerne sa dangerosité, les chercheurs en sécurité des deux entreprises sont au diapason.

«INCONTROLLER représente une capacité de cyberattaque exceptionnellement rare et dangereuse. Il est comparable à TRITON, qui a tenté de neutraliser un système de sécurité industriel en 2017, ou encore à INDUSTROYER, qui a provoqué une panne d'électricité en Ukraine en 2016, et à STUXNET, qui a saboté le programme nucléaire iranien vers 2010.»
source: mandiant.com
«PIPEDREAM est une menace claire et bien réelle pour la disponibilité, le contrôle et la sécurité des systèmes de contrôle et des processus industriels, mettant en danger les opérations et la vie des personnes.»
source: dragos.com

Le malware Triton, découvert en 2017 en Arabie saoudite, est considéré comme le précurseur du malware rendu public aujourd'hui. A l'époque, le célèbre magazine «MIT Technology Review» avait titré qu'il s'agissait du «malware le plus meurtrier au monde». Il s'agissait également du «plus grand malware de tous les temps», car il pouvait désactiver les systèmes de sécurité servant à prévenir les accidents industriels catastrophiques.

«Ces contrôleurs physiques et les logiciels associés constituent la dernière ligne de défense contre les catastrophes potentiellement mortelles. Ils sont censés intervenir lorsqu'ils détectent des dangers, ramener les processus à un niveau sûr ou les arrêter complètement en déclenchant des éléments tels que des vannes d'arrêt et des mécanismes de décompression.»
source: technologyreview.com
«Les acteurs APT ciblent des dispositifs ICS/SCADA spécifiques et pourraient obtenir un accès complet au système s'ils ne sont pas détectés»
Mise en garde de la NSA

Selon Dragos, il s'agit du septième malware spécifique à l'ICS jamais identifié.

ICS et SCADA, c'est quoi?
Les systèmes de contrôle industriels (ICS) sont essentiels pour le fonctionnement des machines et des installations. Ils permettent de surveiller et de contrôler les processus industriels, comme sur les sites miniers, dans les raffineries de pétrole ou dans la production d'électricité. Les ICS sont souvent gérés par un système SCADA («Supervisory Control and Data Acquisition»). Celui-ci dispose d'une interface utilisateur graphique permettant d'observer facilement le fonctionnement et de recevoir des alarmes indiquant un dysfonctionnement.

Qu'y a-t-il d'inhabituel dans cette découverte?

Selon des rapports concordants, le nouveau maliciel a été découvert à temps, soit avant qu'il ne soit utilisé contre une entreprise et qu'il puisse causer des dommages concrets.

«Dragos estime avec une grande certitude que PIPEDREAM n'a pas encore été utilisé à des fins perturbatrices ou destructrices. Il s'agit d'un cas rare où les capacités malveillantes sont analysées avant d'être utilisées contre l'infrastructure de la victime, ce qui offre aux défenseurs une occasion unique de se préparer à l'avance.»
source: dragos.com

Les autorités américaines recommandent à tous les exploitants d'installations et aux responsables de la cybersécurité de prendre des mesures de défense afin de protéger les réseaux industriels. Cela serait possible grâce aux informations qui viennent d'être rendues publiques.

Pourquoi publier les informations maintenant?

Sur la base des informations disponibles, il est impossible de dire pourquoi les autorités américaines ont publié leur avertissement urgent précisément ce mercredi (14 avril 2022). Avaient-elles des indications sur une utilisation imminente de l'arme cybernétique contre des cibles en Occident?

La société de cybersécurité Dragos écrit dans son rapport qu'elle est en principe réticente à donner des indications sur de telles cybermenaces. Celles-ci parce que les informations correspondantes sont souvent «comme des armes» et que les défenseurs des systèmes de contrôle industriels (ICS) ont besoin d'autant de temps que possible pour se protéger.

Comment et quand le maliciel a-t-il été découvert?

Les parties concernées fournissent peu d'informations à ce sujet.

Selon la société de cybersécurité Dragos, ce nouveau malware a été étudié depuis le début de l'année 2022.

Il aurait réussi à identifier le maliciel «par le biais du business normal, de la recherche indépendante et de la collaboration avec différents partenaires au printemps.»

Qui est concerné?

Des industries entières, car selon les spécialistes de la sécurité informatique, ce nouveau malware peut s'attaquer à certains des systèmes de contrôle industriels les plus répandus.

Les acteurs, dont le nom n'est pas mentionné dans les rapports, auraient également la capacité d'infiltrer discrètement les postes de travail d'ingénierie basés sur Windows.

«La cible initiale semble être spécifiquement le gaz naturel liquéfié et les réseaux électriques. Cependant, la nature même du malware fait qu'il fonctionne dans une grande variété de commandes et de systèmes industriels.»
Robert Lee, CEO de Dragos

Le logiciel modulaire, qui semble vouloir s'infiltrer dans les réseaux informatiques traditionnels jusqu'aux systèmes de commande des installations industrielles, s'attaque aux appareils et services suivants:

  • PLC (Programmable Logic Controller) de Schneider Electric: ce sont des commandes de machines à mémoire programmable de l'entreprise française active dans le monde entier.
  • Sysmac d'Omron: une plateforme d'automatisation industrielle de l'entreprise japonaise active dans le monde entier.
  • «OPC UA»: l'un des principaux protocoles de communication pour l'industrie 4.0 et l'Internet des objets (IoT). Il permet de standardiser l'accès aux machines, appareils et autres systèmes dans l'environnement industriel et permet l'échange de données indépendamment du fabricant.
Un extrait de la longue liste des appareils concernés.
Un extrait de la longue liste des appareils concernés.screenshot: dragos

Afin d'atténuer les menaces potentielles et de sécuriser les systèmes de contrôle industriel (ICS et SCADA), les autorités recommandent aux opérateurs de mettre en œuvre une authentification à facteurs multiples pour l'accès à distance, de changer régulièrement les mots de passe et de «rester constamment à l'affût des indicateurs et des comportements malveillants.»

Qui se cache derrière tout cela?

Cela n'a pas été rendu public.

Selon les recherches des experts en sécurité informatique, il s'agit très probablement d'un «malware soutenu par l'État». Le développement et les tests ont dû coûter très cher.

L'entreprise de cybersécurité Dragos, qui a participé à l'enquête, renonce délibérément à attribuer l'origine de tels maliciels à des États individuels.

«Dragos pense qu'il est très probable qu'il ait été développé par un acteur étatique dans le but de paralyser des infrastructures clés.»
source: dragos.com

La société de cybersécurité Mandiant écrit:

«Nous ne pouvons pas attribuer INCONTROLLER à un groupe déjà connu à ce stade de notre analyse, mais nous constatons que l'activité correspond à l'intérêt historique de la Russie pour ICS.»

La fonctionnalité du malware correspondrait à ce qui a été utilisé «lors de cyberattaques physiques antérieures de la Russie». Les attaques de l'époque avaient été attribuées au groupe de pirates informatiques d'élite russe Sandworm.

Depuis l'invasion de l'Ukraine en février 2022, l'agence de sécurité américaine CISA a émis plusieurs avertissements concernant des cyberattaques contre des installations énergétiques.

L'expert suisse en sécurité informatique Marc Ruef, qui observe entre autres le commerce des failles de sécurité informatique/exploits avec son entreprise Scip AG, déclare:

«En principe, il ne faut pas oublier que les systèmes SCADA sont considérés comme des systèmes spéciaux. Les attaquer nécessite des techniques ciblées qui ne sont intéressantes que pour une poignée d'assaillants. Nous constatons une orientation correspondante aux antécédents d'acteurs connus en Inde, en Russie et en Chine.»

Selon ses propres analyses, l'intérêt pour les attaques contre les systèmes SCADA était au plus bas en octobre 2021. En revanche, une «forte activité» a été observée en février et mars 2022. L'intérêt a d'ailleurs presque triplé durant cette période.

Les pays occidentaux accordent désormais une grande importance au thème de la cybersécurité «infrastructure critique», explique le spécialiste.

«Il est prévisible que certains acteurs aient des intentions très concrètes de mener des attaques dans ce sens. Cela sera certainement lié à la nature du conflit ukrainien.»
Marc Ruef, expert en cybersécurité.

Quel est le lien avec Stuxnet?

La cyberarme Stuxnet, développée conjointement par les services secrets américains et israéliens et utilisée contre l'Iran, a pu manipuler de manière ciblée des systèmes de contrôle industriels dans une installation de recherche nucléaire.

Il s'agissait du premier grand cas de cybersabotage dans lequel un logiciel a causé des dommages physiques considérables. En effet, l'enrichissement d'uranium destiné à la production d'armes nucléaires a été fortement perturbé à Natanz, car des centrifugeuses se sont cassées en raison d'un mauvais contrôle.

Traduit de l'allemand par Anaïs Rey.

Sources

Ces Ukrainiennes se moquent des soldats russes
Video: watson
0 Commentaires
Comme nous voulons continuer à modérer personnellement les débats de commentaires, nous sommes obligés de fermer la fonction de commentaire 72 heures après la publication d’un article. Merci de votre compréhension!
La stratégie italienne pour retirer leurs enfants aux mafieux
Mardi, l'Italie a élargi son programme pour protéger les enfants à risque de rejoindre la mafia, couvrant désormais la Sicile et la région de Naples.

L'Italie a annoncé mardi l'extension à la Sicile et à la région de Naples d'un programme visant à empêcher les enfants à risque de suivre les traces de leurs parents mafieux. Cela en les retirant à leurs familles.

L’article