L'actualité cyber depuis la période des fêtes de Noël 2015 est principalement marquée par une cyberattaque coordonnée qui se serait produite sur de multiples sites distribuant l'électricité en Ukraine. Avec pour conséquence de ne plus pouvoir fournir de l'électricité à quelques milliers de civils et durant plusieurs heures. En dépit de nombreux articles parus ces derniers jours, beaucoup qualifiant d'ailleurs la cyberattaque comme étant d'origine russe, il parait nécessaire, une fois encore, de raison garder et de faire preuve de la plus grande prudence quant à la réalité et, bien sûr, l'origine de cette possible cyberattaque.
Si l'incident s'est produit le 23 décembre, c'est d'abord le signalement dans la presse ukrainienne le 25 décembre [1] qui fait émerger publiquement l'information qu'une malveillance probablement d'origine informatique est à l'origine de l'arrêt d'alimentation électrique de huit districts et zones en Ukraine. En France et sur la twittosphère, j'ai probablement été l'un des premiers à relayer l'information dès le 26 décembre 2015 :
Et pendant que tous les regards pointent vers la Syrie et l'Irak, une cyberattaque perturbe l'électricité en Ukraine https://t.co/36A6gOJ7oT
— Sivis Pacem (@CyvispaSec) 26 Décembre 2015
A ce stade, relevons simplement :
- qu'il faut moins de 72 heures pour que l'incident soit publiquement signalé puis diffusé via les relais spécialisés de l'infosphère ;
- que la cyberattaque a rendu inopérante la partie supervision ("SCADA") d'une partie du réseau de distribution électrique ;
- qu'il n'est pas encore question d'attribution.
Pour la partie cinématique proprement dite, les faits connus sont les suivants [1][2][3][4] :
- l'exploitant ne qualifie pas l'incident de cyberattaque dans les premières heures, ne disposant probablement ni de la culture (personnel formé et organisation dédiée) ni de dispositifs de détection adaptés ;
- un twittos ukrainien, dès le 24 décembre 2015, évoque une "intervention par des personnes non autorisées dans le package logiciel de contrôle de la supervision" ;
- enfin, le 28 décembre, la première évocation explicite qu'ont "été trouvés des logiciels malveillants dans les réseaux de compagnies régionales d'électricité" et, mieux, que "les services spéciaux russes essaient de frapper les réseaux d'ordinateur du complexe énergétique de l'Ukraine".
Le chaînon manquant, c'est à dire l'attribution, entre la cyberattaque avérée et ses auteurs, les services secrets russes, est donc réalisé par les services secrets ukrainiens. Le tout en cinq jours [5] et en plein contexte de cessez-le-feu depuis l'été 2015 tandis que des escarmouches plus ou moins importantes continuent de se produire quasi quotidiennement.
Maintenant, nul besoin de rappeler les inquiétudes, notamment des différents agences nationales responsable de la cybersécurité, en ce qui concerne les risques de malveillance informatique pesant sur les systèmes industriels, les DCS et les SCADA [6]. Est-ce cependant la réalité dans le cadre de la cyberattaque en Ukraine ? Difficile de le savoir tant que des éléments de preuve vérifiables et opposables ne sont disponibles. L'actuel conflit en Ukraine, entre d'un côté les "Occidentaux" c'est à dire principalement les USA avec l'appui très discret mais réel des Britanniques et, de l'autre, la Russie qui utilise les "séparatistes" de l'Est de l'Ukraine comme proxy n'est évidemment pas un gage de sérénité et d'absolue objectivité dans l'enquête probablement en cours. Et puis, à partir du moment où les services secrets/spéciaux sont nommément cités, difficile de ne pas voir le niveau de suspicion augmenter. Il suffit, par exemple, de se rappeler de la récente affaire [7] de manipulation de l'information et de désinformation directement liée à l'explosion de l'oléoduc Bakou-Tbilissi-Ceyhan (BTC) de 2008.
En première analyse, les doutes pesant sur cette affaire existent sans minorer cependant la vraisemblance de l'enchaînement des faits qui pourrait faire de cette affaire la première cyberattaque connue et publique sur ce type d'infrastructure. Il est donc possible qu'une cyberattaque coordonnée couplant une variante du troyen BlackEnergy et une variante de la charge active KillDisk [2] ait causé l'interruption de la distribution d'électricité dans une partie limitée de l'Ukraine le 23 décembre 2015. Il est aussi tout à fait sensé que le problème ait pu être contourné par un redémarrage manuel [1] des actionneurs et des automates interfacés avec les différents systèmes de contrôle et de supervision touchés. Enfin, si l'acte est juridiquement délictueux, il n'est à ce stade pas démontré qu'il s'agisse d'une action russe, nord-coréenne ou étasunienne ! A suivre...
[5] "record" battu ? se remémorer l'affaire Sony de la fin 2014 et, plus récemment, celle ayant concerné TV5 Monde
[6] on lira avec intérêt le dernier article du camarade Informatiques Orphelines
Aucun commentaire:
Enregistrer un commentaire