Après les réseaux informatiques, les malwares ciblent désormais les réseaux électriques. Un danger majeur contre lequel il convient de se protéger pour éviter les catastrophes potentielles.
Un logiciel malveillant capable de cartographier le réseau informatique interne d’une station électrique et de le saboter… Science-fiction ? Non. Ce scénario catastrophe, l’Ukraine y a été confrontée en décembre 2016, quand la station haute tension de Pivnichna Power System, près de la capitale Kiev, a disjoncté, privant un quartier entier d’électricité. Le courant a pu être rétabli par les techniciens, qui ont réenclenché manuellement les disjoncteurs pilotés via le réseau informatique.
En Ukraine, le malware baptisé Black Energy s’était attaqué au système SCADA (Supervisory Control and Data Acquisition) qui surveille et contrôle l’ensemble des équipements d’un industriel. Comment a-t-il infecté le système ?
Auparavant, l’information provenant d’un capteur situé dans le poste électrique était acheminée par un câble en cuivre jusqu’au poste de télécommunication, qui envoyait l’information via le réseau téléphonique commuté. Mais les réseaux électriques sont passés au numérique grâce aux réseaux de fibre optique, pour des raisons de réduction des coûts et d’amélioration de l’efficacité, devenant ainsi vulnérables aux cyberattaques. Le virus commence par s’introduire dans les infrastructures informatiques classiques, en empruntant des failles présentes dans les ordinateurs. Mais sa cible finale, c’est bien le système automatisé de contrôle des réseaux électriques.
Risque de black-out
En matière de réseaux électriques, l’organisation de l’Ukraine n’est pas celle que l’on retrouve nécessairement ailleurs. Ainsi, « en France, les systèmes électriques sont très cloisonnés. Par exemple, le réseau public de transport d’électricité possède son propre réseau de télécommunication en fibre optique qui n’est pas connecté à Internet », rassure Valentin Brehier, ingénieur système chez SDEL Contrôle Commande, une entreprise du réseau OMEXOM.
L’objectif du pirate est de prendre le contrôle d’un grand nombre de postes électriques haute tension pour isoler des « poches » sensibles (département, région). « Une région qui a une forte consommation, mais peu de production, doit être connectée à une région qui produit beaucoup, mais consomme peu. Si on parvient à les séparer, l’une surproduit, et la centrale va alors se désynchroniser, et celle qui surconsomme va faire s’écrouler le réseau. Si on arrive à ouvrir les bons disjoncteurs, on peut plonger un pays dans le noir », avertit Valentin Brehier.
Les cyberarmes attaquent les installations industrielles
Pour se protéger de ce possible black-out, poursuit l’expert, on peut segmenter et privatiser des parties du réseau, et créer des DMZ (zones démilitarisées) : un service qu’on ne peut pas complètement isoler sera placé dans une zone particulièrement protégée.
L’enjeu de la maintenance
Mais le vrai problème des réseaux industriels, c’est leur faible niveau de maintenance. Les protocoles industriels sont en retard sur ceux de l’informatique : les notions d’authentification et de cryptage sont moins fortes dans l’industrie pour des raisons de performance. « Le gros défi de ces infrastructures, c’est de les moderniser alors qu’elles ne sont pas conçues pour ça. Dans l’industrie, un système validé et qui répond aux besoins fonctionnels, on n’y touche plus. Si toutefois il est connecté à une passerelle Internet, il n’est plus protégé », décrit l’ingénieur système de SDEL Contrôle Commande. Il faut donc créer une couche de sécurisation autour de ces anciens systèmes.
« La France a toujours été assez prudente vis-à-vis de la numérisation. Une bonne chose, puisque nous sommes ainsi moins sensibles aux risques. Le segment entre les parties sécurisées et non sécurisées étant privé, le virus ne peut pas l’emprunter pour attaquer le réseau de téléconduite, qui n’a aucune passerelle de connexion », précise Valentin Brehier.
Les acteurs capables d’atteindre à distance une ville ou un pays sont plutôt des agences de renseignement d’État, selon l’expert : « Les failles « zero day », vulnérabilité informatique n’ayant fait l’objet d’aucune publication ou n’ayant aucun correctif connu, qui peuvent donc infecter à coup sûr n’importe quelle machine, sont disponibles à l’achat sur le Darknet. » Par exemple, en 2010, le virus Stuxnet était la première cyberarme qui a été délibérément créée par des hackers pour cibler et détériorer à distance une installation industrielle.
La cible : les centrifugeuses de l’usine d’enrichissement d’uranium de la centrale de Natanz, en Iran.
13/12/2017