La semaine qui vient de s'écouler aura particulièrement été riche en événements cyber. Pourtant, ce n'est ni la téléconférence d'Edward Snowden (1) ni la remarquable "surprise" (2) linuxienne Turla (3) qui retiennent mon attention. C'est davantage un incident qui s'est produit en août 2008 sur un oléoduc en Turquie et qui pourrait avoir été délibérément provoqué (4). En effet, des pirates informatiques utilisant une vulnérabilité logicielle des caméras de vidéosurveillance auraient réussir à s'introduire dans le système d'information, désactivé les alarmes, les communications et surtout modifié le débit du pétrole acheminé conduisant à la rupture explosive de l'une des 101 stations de vannes d'arrêt.
Pour commencer, plantons la scène à l'époque de l'événement puis attardons-nous sur les révélations des derniers jours. Le 5 août 2008, la station 30 de l'oléoduc Bakou-Tbilissi-Ceyhan (BTC) explose soudainement aux alentours de 23 heures à Refahiye en Turquie. L'oléoduc BTC inauguré en juillet 2006 est, comme toute infrastructure de transport de matière fossile, critique. Pour tout dire, des considérations géopolitiques (5) le rendent même particulièrement critique puisqu'il permet de mieux sécuriser l'approvisionnement énergétique d'un certain nombre de pays occidentaux, au premier rang desquels les États-Unis. Il permet aussi de contourner l'Iran qui permettrait pourtant de raccourcir significativement le chemin de transport, transporte environ 20% du pétrole importé par Israël et, enfin, réduit l'influence russe puisque, directement importé de la mer Caspienne, cette dernière ne dispose plus de prise sur aucune des opérations (de l'extraction au transport). Enfin, il permet de rapprocher deux pays de cette zone d'influence russe vers l'Europe et les États-Unis : l’Azerbaïdjan et la Géorgie. Du fait de ces considérations géopolitiques complexes, BTC a été conçu et est opéré comme l'un des oléoducs les plus sûrs au monde.
Ce qui éclaire cet épisode d'un certain nombre de questions, c'est la tension qui règne alors dans cette région du Caucase. L'explosion qui se produit sur l'oléoduc BTC intervient exactement trois jours avant le début du conflit qualifié de deuxième guerre d'Ossétie du Sud (6) entre la Géorgie, sa province séparatiste d'Ossétie du sud et surtout la Russie qui soutient cette dernière. Par ailleurs, à cette époque les accrochages entre la guérilla kurde et la Turquie sont nombreux, ce qui complique un peu plus un échiquier où se côtoient plusieurs acteurs antagonistes, les possibles et donc les hypothèses. A ce stade, la fuite des derniers jours rend l'histoire intéressante sinon vendeuse d'autant plus qu'elle se situe deux ans avant celle de Stuxnet. C'est sans doute pourquoi il convient de s'interroger prudemment et de ne pas tomber dans les arcanes d'un monde obscur où la manipulation le dispute à la désinformation.
La première raison d'être prudent concerne la source des fuites : des "services de renseignement" notamment Américains. Difficile de faire plus flou sinon nébuleux. La deuxième raison concerne l'absence de présentation d'une preuve tangible. Les éléments cités dans les différents articles ayant relayé l'information évoquent une preuve "circonstancielle" : si une soixantaine d'heures de vidéosurveillance ont été effacées par les pirates, une caméra infrarouge isolée a néanmoins pu filmer quelques jours avant l'explosion deux hommes équipés d'ordinateurs portables et habillés de combinaisons noires militaires, sans marques ni insignes distinctifs, similaires à celles employées par les forces spéciales russes ! La troisième raison est davantage une question : "pourquoi aujourd'hui ?" En effet, l'information que les Russes auraient utilisé des moyens cyber pour paralyser cet oléoduc et, indirectement, toucher la Géorgie avant de l'affronter par des moyens cette fois-ci militaires et conventionnels n'est pas récente. Dès 2009, un expert en cybersécurité (7) s'interrogeait, se basant sur les accusations publiées sur le site internet d'une télévision publique Géorgienne. Alors que les tensions entre l'Europe et les États-Unis d'une part et la Russie d'autre part sont vives depuis plusieurs mois du fait des affrontements en Ukraine, mettre au premier plan cette information n'est évidemment pas le fait du hasard.
A ce stade, il est possible de relever une similitude entre cette cyberattaque et Stuxnet même si le niveau de complexité est sans commune mesure : la modification des données remontées au contrôle des opérations de l'oléoduc ont permis de masquer un problème qui va produire une destruction. Dans un cas, les données modifiées ont fait croire que la vitesse des centrifugeuses nucléaires Iraniennes (Stuxnet) était dans la fourchette admise, dans l'autre elles ont permis de masquer la survenance d'une (sur)pression dans l'oléoduc. De plus, l'enquête aurait révélé l'utilisation de moyens complémentaires sophistiqués étant donnée la redondance des sécurités : les communications standard désactivées, une liaison de secours satellitaire aurait dû fonctionner. Seule une technique de brouillage a pu empêcher le fonctionnement du secours. Par ailleurs, il semble que les logs ont révélé la pénétration du système d'information aux heures où les seules images des deux suspects ont pu être visionnées.
Pour conclure, si cette histoire apparait fort à propos du fait du contexte géopolitique actuel entre la Russie et l'Europe/États-Unis, elle est parfaitement réaliste tant du point de vue technique, un mix d'actions cinétiques et non-cinétiques, que chronologique et évidemment stratégique. Dès lors, les multiples avertissements lancés depuis des années par les autorités principalement Américaines mais aussi Européennes et notamment Françaises quant à la nécessité de mieux protéger l'ensemble des infrastructures critiques contre de possibles destructions apparaissent d'autant plus crédibles. Désormais, BTC 2008 pourrait marquer l'histoire cyber au même titre que Stuxnet 2010 et Aramco 2012.
Ce qui éclaire cet épisode d'un certain nombre de questions, c'est la tension qui règne alors dans cette région du Caucase. L'explosion qui se produit sur l'oléoduc BTC intervient exactement trois jours avant le début du conflit qualifié de deuxième guerre d'Ossétie du Sud (6) entre la Géorgie, sa province séparatiste d'Ossétie du sud et surtout la Russie qui soutient cette dernière. Par ailleurs, à cette époque les accrochages entre la guérilla kurde et la Turquie sont nombreux, ce qui complique un peu plus un échiquier où se côtoient plusieurs acteurs antagonistes, les possibles et donc les hypothèses. A ce stade, la fuite des derniers jours rend l'histoire intéressante sinon vendeuse d'autant plus qu'elle se situe deux ans avant celle de Stuxnet. C'est sans doute pourquoi il convient de s'interroger prudemment et de ne pas tomber dans les arcanes d'un monde obscur où la manipulation le dispute à la désinformation.
La première raison d'être prudent concerne la source des fuites : des "services de renseignement" notamment Américains. Difficile de faire plus flou sinon nébuleux. La deuxième raison concerne l'absence de présentation d'une preuve tangible. Les éléments cités dans les différents articles ayant relayé l'information évoquent une preuve "circonstancielle" : si une soixantaine d'heures de vidéosurveillance ont été effacées par les pirates, une caméra infrarouge isolée a néanmoins pu filmer quelques jours avant l'explosion deux hommes équipés d'ordinateurs portables et habillés de combinaisons noires militaires, sans marques ni insignes distinctifs, similaires à celles employées par les forces spéciales russes ! La troisième raison est davantage une question : "pourquoi aujourd'hui ?" En effet, l'information que les Russes auraient utilisé des moyens cyber pour paralyser cet oléoduc et, indirectement, toucher la Géorgie avant de l'affronter par des moyens cette fois-ci militaires et conventionnels n'est pas récente. Dès 2009, un expert en cybersécurité (7) s'interrogeait, se basant sur les accusations publiées sur le site internet d'une télévision publique Géorgienne. Alors que les tensions entre l'Europe et les États-Unis d'une part et la Russie d'autre part sont vives depuis plusieurs mois du fait des affrontements en Ukraine, mettre au premier plan cette information n'est évidemment pas le fait du hasard.
A ce stade, il est possible de relever une similitude entre cette cyberattaque et Stuxnet même si le niveau de complexité est sans commune mesure : la modification des données remontées au contrôle des opérations de l'oléoduc ont permis de masquer un problème qui va produire une destruction. Dans un cas, les données modifiées ont fait croire que la vitesse des centrifugeuses nucléaires Iraniennes (Stuxnet) était dans la fourchette admise, dans l'autre elles ont permis de masquer la survenance d'une (sur)pression dans l'oléoduc. De plus, l'enquête aurait révélé l'utilisation de moyens complémentaires sophistiqués étant donnée la redondance des sécurités : les communications standard désactivées, une liaison de secours satellitaire aurait dû fonctionner. Seule une technique de brouillage a pu empêcher le fonctionnement du secours. Par ailleurs, il semble que les logs ont révélé la pénétration du système d'information aux heures où les seules images des deux suspects ont pu être visionnées.
Pour conclure, si cette histoire apparait fort à propos du fait du contexte géopolitique actuel entre la Russie et l'Europe/États-Unis, elle est parfaitement réaliste tant du point de vue technique, un mix d'actions cinétiques et non-cinétiques, que chronologique et évidemment stratégique. Dès lors, les multiples avertissements lancés depuis des années par les autorités principalement Américaines mais aussi Européennes et notamment Françaises quant à la nécessité de mieux protéger l'ensemble des infrastructures critiques contre de possibles destructions apparaissent d'autant plus crédibles. Désormais, BTC 2008 pourrait marquer l'histoire cyber au même titre que Stuxnet 2010 et Aramco 2012.
(2) A force de taper comme des sourds sur Windows depuis des années, certains feraient bien de se poser quelques questions fondamentales concernant les distributions Linux
(6) http://fr.wikipedia.org/wiki/Deuxi%C3%A8me_guerre_d%27Oss%C3%A9tie_du_Sud
(3) http://www.mag-securs.com/news/articletype/articleview/articleid/34523/une-version-linux-du-malware-turla.aspx
(4) http://www.bloomberg.com/news/2014-12-10/mysterious-08-turkey-pipeline-blast-opened-new-cyberwar.html
(5) pour aller plus loin, on lira avec intérêt http://www1.rfi.fr/actufr/articles/065/article_36409.asp et http://www.universalis.fr/encyclopedie/oleoduc-bakou-tbilissi-ceyhan/ (4) http://www.bloomberg.com/news/2014-12-10/mysterious-08-turkey-pipeline-blast-opened-new-cyberwar.html
(6) http://fr.wikipedia.org/wiki/Deuxi%C3%A8me_guerre_d%27Oss%C3%A9tie_du_Sud
(7) Il s'agit de Robert Huber, cofondateur de la société Critical Intelligence qui est spécialisée dans la cybersécurité des systèmes industriels. Un document réactualisé et à destination des média est ici disponible.
Aucun commentaire:
Enregistrer un commentaire