Aciérie allemande

Fin 2014, une aciérie allemande a été victime d’une cyberattaque. Les hackers ont réussi à prendre le contrôle des logiciels de production de l’usine causant ainsi de lourds dégâts matériels. Cette cyberattaque est la deuxième du genre à faire parler d’elle après l’attaque contre les centrifugeuses iraniennes d’enrichissement d’uranium en 2010. Comment les hackers ont-ils procédé ? Quels étaient leurs motifs ? Quelles sont les solutions existantes pour protéger les sites industriels ? Retour sur ce « cas d’école » en matière de cybersécurité.

Déroulement de la cyberattaque

Même si le BSI, le Bureau fédéral Allemand pour la sécurité numérique n’a pas divulgué la date et le lieu de cette cyberattaque, le modus operandi lui, est par contre clairement annoncé :

  1. Les hackers se sont d’abord introduits sur le réseau bureautique du site industriel.
  2. Depuis ce premier réseau, ils ont pénétré les logiciels de gestion de production de l’aciérie.
  3. Ensuite, ils ont pu prendre les commandes de la plupart des systèmes de contrôle de l’usine.
  4. Une fois aux manettes, ils ont alors détruit méthodiquement des composants d’interfaces hommes-machines (PLC etc.). Les hackers ont ainsi empêché un haut fourneau de se mettre en sécurité à temps et causé de gros dégâts à l’infrastructure.

Le SANS Institute a enquêté sur cette attaque. Ses conclusions sont sans équivoque, le procédé utilisé par les hackers pour s’introduire dans le réseau est celui du « Spear phishing ». Autrement dit, les hackers ont envoyé des e-mails frauduleux en se faisant passer pour des sources fiables ou connues des destinataires. Souvent ces e-mails incitent le destinataire à ouvrir une pièce jointe ou à visiter un site web libérant ainsi un malware. Dans le cas de l’attaque de l’aciérie allemande, il s’agirait d’une pièce jointe.

Une fois la pièce jointe ouverte, le malware a été « injecté » dans le système commercial de l’usine. A partir de là, il a pu faire son chemin endommageant au passage de nombreux systèmes et des composants d’automatisation industrielle.

Une cyberattaque qui marque un tournant

Nous le disions, cette cyberattaque est une des plus connues à avoir causé des dégâts majeurs sur un site industriel. Elle s’inscrit en cela dans la lignée d’une autre cyberattaque : Stuxnet.  Stuxnet est une arme digitale très sophistiquée qui a été développée par les États-Unis et Israël. Lancée en 2010, elle a endommagé les systèmes de contrôle des centrifugeuses nucléaires iraniennes. Dans le cas de Stuxnet, les « hackers » sont clairement identifiés. Ce n’est pas le cas des cyber-pirates qui ont causé les dommages à l’aciérie allemande fin 2014.

 

Qui sont les hackers et pourquoi cette cyberattaque ?

Les auteurs de cette cyberattaque n’ont pas été clairement identifiés. Néanmoins, l’enquête a démontré que les hackers avaient une solide connaissance des systèmes de contrôle industriels. Il est aussi sûr qu’il s’agît d’un groupe d’individus expérimentés et non d’une initiative d’un hacker isolé.

En effet, selon Michel Nesterenko, Directeur de recherche au centre français de recherche sur le renseignement : « (…) Pour conduire avec succès une attaque de ce type, il faut des moyens colossaux. Une attaque d’un hacker seul fut-il génial est donc très improbable. Par contre, de grands pays tels que les USA avec la NSA, Israël, la Russie, la Chine sont tout à fait capable de mener une attaque avec succès et d’en tirer un profit stratégique. Certains en ont fait la démonstration grandeur nature. (…) »

Les motivations des hackers ne sont pas certaines. Néanmoins, cette cyberattaque a été classée comme APT (Advanced Persistent Threat ou Menace Persistante Avancée). Or, la plupart des APT sont dues à des groupes sponsorisés par un autre groupe ou un état. Ce qui irait dans le sens des premiers résultats de l’enquête.

On s’interroge donc sur le véritable but d’une telle attaque : causer des dommages à l’infrastructure purement et simplement ou obtenir de l’argent. On peut croire que si les fins des hackers avaient été économiques (espionnage industriel, dérèglement de production etc.), ils n’auraient pas été jusqu’à endommager l’infrastructure. Ils se seraient contentés d’infecter les systèmes et de pirater un maximum d’informations.

Ce qui amène les enquêteurs du SANS à penser que l’un des motifs possibles est la « mise en garde », « signal fort » ou tout simplement la rançon. En somme, le commanditaire de cette cyberattaque a voulu faire savoir qu’il était en mesure de causer des dégâts sérieux à des sites industriels sensibles et stratégiques pour soutirer de l’argent.

Un « avertissement » cybersécurité à prendre très au sérieux

Ce qu’ont réussi à faire les hackers avec l’aciérie allemande doit être pris très aux sérieux. En effet, si les cyberattaques commencent à causer des dommages aux infrastructures industrielles, les populations peuvent, elles aussi, être impactées.

Par exemple, l’attaque d’une centrale électrique peut priver de courant des centaines de milliers de personnes. De la même façon, si les hackers s’en prennent à une usine de traitement des eaux ou à des hôpitaux, les conséquences pourraient être dans ce cas dramatiques, on pourrait craindre des contaminations, des empoisonnements etc.

Cyber-pirates, extrémistes, groupes d’activistes, ils agissent souvent avec les encouragements et les fonds d’organisations gouvernementales. Certains états procèdent ainsi pour « contrarier » un état « ennemi historique » ou ralentir les progrès d’un autre. Les conflits du futur et même certains actuels, se jouent sur un nouveau terrain, celui du numérique.

 

Cyberattaque contre cybersécurité

Les Cybersecurity Frameworks

Pour faire face à ces menaces, la cybersécurité s’organise. Les cyberattaques visent de plus en plus fréquemment des sites industriels. Plus particulièrement des sites liés aux énergies : industrie pétrolière, gaz, électricité. Or, ces sites industriels sont éminemment stratégiques pour les états. C’est pour cette raison qu’ont été initié des cybersecurity frameworks.

Par exemple, en France la loi de programmation militaire veut réglementer la politique de sécurité des OIV, en Allemagne de nouveaux règlements ont vu le jour auprès des opérateurs d’infrastructures critiques et aux Etats-Unis c’est le Cybersecurity Framework qui propose à ses membres adhérents (tous volontaires) une gestion globale et normalisée de la cybersécurité. L’idée globale de ces frameworks étant de pouvoir prévenir ou minimiser l’impact d’une cyberattaque et de remettre le réseau en état de fonctionnement nominal le plus rapidement possible.

En parallèle du Cybersecurity Framework, se développent en Europe des solutions de cybersécurité adaptées aux sites industriels. Ces solutions intègrent, entre autre, une cartographie des réseaux des entreprises industrielles afin de déterminer les meilleurs protocoles de protection. Elles permettent aussi, en cas d’attaque, de réduire au maximum l’impact des hackers en déclenchant au plus tôt les alertes pour empêcher la propagation des attaquants. Ces solutions permettent dès à présent aux industries critiques de se protéger contre les Cyberattaques de plus en plus nombreuses.

La cyberattaque subie par l’aciérie allemande ouvre une ère nouvelle. Les hackers ont réussi à endommager l’infrastructure du site. Ce qui était jusque-là un cas rare, risque de se démocratiser… Le développement rapide du tout numérique et l’IoT ne feront qu’accentuer ces risques de cyberattaques. Les sites industriels sont les plus exposés et doivent faire de la cybersécurité leur priorité. C’est d’ailleurs en partant de ce constat que Sentryo a développé sa solution de cybersécurité : ICS Cybervision.

Crédit photo : FreeImages / Afonso Lima