Des systèmes industriels vitaux, dits «critiques», sont menacés par un nouveau type de maliciel. Les autorités américaines, appuyées par des rapports alarmants de deux entreprises de cybersécurité, ont récemment donné l'alerte.
L'alerte du gouvernement américain de mercredi fait froid dans le dos. Un nouveau logiciel malveillant a été découvert. Celui-ci est capable de manipuler des systèmes de contrôle industriels et de détruire des installations. Avec des conséquences potentiellement dévastatrices allant jusqu'à la perte de vies humaines (plus d'informations ci-dessous).
L'avertissement commun provient des grandes organisations suivantes:
La société de cybersécurité Dragos, qui a étudié le malware, indique que l'une de ses propriétés est sa capacité à désactiver les systèmes d'arrêt d'urgence industriels.
Et la société de cybersécurité Mandiant, qui a également participé à l'enquête, explique que le malware est «le plus grand risque pour l'Ukraine et les autres nations qui ont réagi à l'invasion russe.»
L'alerte a été lancée un jour après la découverte de «Industroyer2», une autre cyberarme détectée en Ukraine. Elle serait l'œuvre du groupe de piratage d'élite russe Sandworm. Ce malware aurait, selon les experts en sécurité, paralysé l'approvisionnement en électricité.
Oui.
Mandiant et Dragos, deux entreprises américaines de cybersécurité renommées, ont analysé le malware et ont également publié des rapports à ce sujet mercredi.
Ce qui pourrait prêter à confusion: Mandiant appelle le nouveau malware «Incontroller». De son côté, Dragos utilise le terme «Pipedream». En ce qui concerne sa dangerosité, les chercheurs en sécurité des deux entreprises sont au diapason.
Le malware Triton, découvert en 2017 en Arabie saoudite, est considéré comme le précurseur du malware rendu public aujourd'hui. A l'époque, le célèbre magazine «MIT Technology Review» avait titré qu'il s'agissait du «malware le plus meurtrier au monde». Il s'agissait également du «plus grand malware de tous les temps», car il pouvait désactiver les systèmes de sécurité servant à prévenir les accidents industriels catastrophiques.
Selon Dragos, il s'agit du septième malware spécifique à l'ICS jamais identifié.
Selon des rapports concordants, le nouveau maliciel a été découvert à temps, soit avant qu'il ne soit utilisé contre une entreprise et qu'il puisse causer des dommages concrets.
Les autorités américaines recommandent à tous les exploitants d'installations et aux responsables de la cybersécurité de prendre des mesures de défense afin de protéger les réseaux industriels. Cela serait possible grâce aux informations qui viennent d'être rendues publiques.
Sur la base des informations disponibles, il est impossible de dire pourquoi les autorités américaines ont publié leur avertissement urgent précisément ce mercredi (14 avril 2022). Avaient-elles des indications sur une utilisation imminente de l'arme cybernétique contre des cibles en Occident?
La société de cybersécurité Dragos écrit dans son rapport qu'elle est en principe réticente à donner des indications sur de telles cybermenaces. Celles-ci parce que les informations correspondantes sont souvent «comme des armes» et que les défenseurs des systèmes de contrôle industriels (ICS) ont besoin d'autant de temps que possible pour se protéger.
Les parties concernées fournissent peu d'informations à ce sujet.
Selon la société de cybersécurité Dragos, ce nouveau malware a été étudié depuis le début de l'année 2022.
Il aurait réussi à identifier le maliciel «par le biais du business normal, de la recherche indépendante et de la collaboration avec différents partenaires au printemps.»
Des industries entières, car selon les spécialistes de la sécurité informatique, ce nouveau malware peut s'attaquer à certains des systèmes de contrôle industriels les plus répandus.
Les acteurs, dont le nom n'est pas mentionné dans les rapports, auraient également la capacité d'infiltrer discrètement les postes de travail d'ingénierie basés sur Windows.
Le logiciel modulaire, qui semble vouloir s'infiltrer dans les réseaux informatiques traditionnels jusqu'aux systèmes de commande des installations industrielles, s'attaque aux appareils et services suivants:
Afin d'atténuer les menaces potentielles et de sécuriser les systèmes de contrôle industriel (ICS et SCADA), les autorités recommandent aux opérateurs de mettre en œuvre une authentification à facteurs multiples pour l'accès à distance, de changer régulièrement les mots de passe et de «rester constamment à l'affût des indicateurs et des comportements malveillants.»
Cela n'a pas été rendu public.
Selon les recherches des experts en sécurité informatique, il s'agit très probablement d'un «malware soutenu par l'État». Le développement et les tests ont dû coûter très cher.
L'entreprise de cybersécurité Dragos, qui a participé à l'enquête, renonce délibérément à attribuer l'origine de tels maliciels à des États individuels.
La société de cybersécurité Mandiant écrit:
La fonctionnalité du malware correspondrait à ce qui a été utilisé «lors de cyberattaques physiques antérieures de la Russie». Les attaques de l'époque avaient été attribuées au groupe de pirates informatiques d'élite russe Sandworm.
Depuis l'invasion de l'Ukraine en février 2022, l'agence de sécurité américaine CISA a émis plusieurs avertissements concernant des cyberattaques contre des installations énergétiques.
L'expert suisse en sécurité informatique Marc Ruef, qui observe entre autres le commerce des failles de sécurité informatique/exploits avec son entreprise Scip AG, déclare:
Selon ses propres analyses, l'intérêt pour les attaques contre les systèmes SCADA était au plus bas en octobre 2021. En revanche, une «forte activité» a été observée en février et mars 2022. L'intérêt a d'ailleurs presque triplé durant cette période.
Les pays occidentaux accordent désormais une grande importance au thème de la cybersécurité «infrastructure critique», explique le spécialiste.
La cyberarme Stuxnet, développée conjointement par les services secrets américains et israéliens et utilisée contre l'Iran, a pu manipuler de manière ciblée des systèmes de contrôle industriels dans une installation de recherche nucléaire.
Il s'agissait du premier grand cas de cybersabotage dans lequel un logiciel a causé des dommages physiques considérables. En effet, l'enrichissement d'uranium destiné à la production d'armes nucléaires a été fortement perturbé à Natanz, car des centrifugeuses se sont cassées en raison d'un mauvais contrôle.
Traduit de l'allemand par Anaïs Rey.