Discussion :

[Victor Vincent]

Des hackeurs utilisent un malware pour faire tomber le réseau électrique
dans le nord de l’Ukraine

C’est vers la fin du mois de décembre que les faits ont eu lieu d’après une information donnée par la société de sécurité informatique ESET relayée par l’AFP. Le piratage informatique est-il en train de se tourner de plus en plus vers de nouvelles cibles ? C’est en tout cas l’impression que donne la nouvelle de cette attaque. En effet, les équipes d’ESET France affirment qu’il s’agit d’une « première mondiale ».

D’après l'ESET, les pirates ont utilisé un programme dénommé « BlackEnergy » afin d'introduire le logiciel malveillant, KillDisk, contenant « des fonctionnalités permettant de nuire à des systèmes industriels » dans le système électrique. Le virus en question aurait « été implanté grâce à une importante campagne de phishing en utilisant un document Excel infecté », a expliqué la société de sécurité informatique, qui affirme avoir détecté l’attaque après une longue période de surveillance du virus informatique. L’attaque a plongé une grande partie de la région d’Ivano-Frankivsk, une région située à l’ouest de l’Ukraine, dans le noir pendant plusieurs heures. C’est ce qu’avait indiqué la compagnie ukrainienne d’électricité le 23 décembre dernier. La société ajoute que l’attaque a été possible notamment parce que des personnes non autorisées ont eu accès au système de commande à distance. Pour que la situation revienne à la normale, il a fallu que les techniciens la rétablissent de façon manuelle.

L’attaque a été confirmée par les services spéciaux ukrainiens (SBU) qui ont fait état de la découverte de « logiciels malveillants sur les réseaux de plusieurs compagnies d'électricité régionales ». D’après une source ukrainienne proche du dossier citée par l’AFP, il s’agit d’un type de virus qui n’avait jamais été rencontré dans le passé. En effet, cette source déclare : « un virus, que nous n'avions jamais rencontré auparavant, a été détecté. (..) Ce virus a causé des dommages. Le système automatique a cessé de fonctionner, les ordinateurs se sont éteints ». Une représentante des services secrets ukrainiens dans la région d’Ivano-Frankvisk a affirmé que leurs services continuent de faire des investigations pour éclaircir l’affaire sans être en mesure pour l’instant d’identifier les auteurs ou de déterminer le but de l’attaque.

Source : AFP

Et vous ?

Que vous inspire cette attaque contre des installations électriques en Ukraine ?

Voir aussi

la rubrique Actualités

[TiranusKBX]

je paris que l'on vas bientôt nous sortir que ce virus est d'origine russe !

[eldran64]

je paris que l'on vas bientôt nous sortir que ce virus est d'origine russe !

Il faut avouer que c'est tentant...

[payintech]

...

[robertledoux]

Bien souvent dans ce genre de domaine (énergie, infra industriel type central, ...), le virus, c'est le gugus devant sont écran qui branche sa clef USB perso sur un poste professionnel.

[pcdwarf]

Personnellement je trouve ça fun.

Certes, c'est pas plaisant de se faire couper le courant mais je m'en accommoderai une fois ou deux si la secousse pouvait enfoncer dans le crane de quelques décideurs haut placés que la sécurité informatique n'est pas quelque chose dont on peut se dispenser.
(Particulièrement dans des domaines "sérieux" comme l'énergie.)

[Chuck_Norris]

Personnellement je trouve ça fun.

On verra si tu trouveras ça aussi amusant quand c'est un hôpital privé d'électricité provoquant des morts, ou que tu te retrouves au chômage technique faute d'électricité, que ta maison devienne gelée faute de chauffage, que tu peux jeter l'ensemble du contenu du congélateur, et que tu t'éclaires à la bougie en plein hiver.

[Zineb2014]

Une des leçons à retenir : Quand on devient dépendant de la technologie...il faut prendre toutes les mesures nécessaires sinon garder ses anciennes méthodes .

[pcdwarf]

@chuck norris,

Les hôpitaux comme tous les établissements sensibles a une interruption d'énergie ont des groupes électrogènes.
Justement : ça fait partie de la sécurité.

Pour ce qui est du reste => relire la fin de mon post, j'assumerai.

[Watilin]

Attention à la terminologie : hackeur ça veut dire bidouilleur, ça n'est pas synonyme de pirate. Le journaliste qui dit hackeur à la place de pirate, c'est celui de Télématin, celui qui dit Meuporg. Voilà.

[Chuck_Norris]

Les hôpitaux comme tous les établissements sensibles a une interruption d'énergie ont des groupes électrogènes.
Justement : ça fait partie de la sécurité.

Je sais bien et fort heureusement. Mais je ne trouve pas "amusant" le fait de pouvoir couper l'électricité via logiciel et à distance, et encore moins de le faire réellement comme ici.

En effet, quelqu'un qui possède une arme aussi efficace que celle-ci peut paralyser un pays et le mettre à genoux. Les groupes électrogènes, c'est bien en secours pour parer à une coupure de courant sur une courte durée, mais cela ne retire rien à l'aspect dramatique d'une coupure maligne et potentiellement très étendue dans le temps sur un pays.

[EyZox]

Je sais bien et fort heureusement. Mais je ne trouve pas "amusant" le fait de pouvoir couper l'électricité via logiciel et à distance, et encore moins de le faire réellement comme ici.

En effet, quelqu'un qui possède une arme aussi efficace que celle-ci peut paralyser un pays et le mettre à genoux. Les groupes électrogènes, c'est bien en secours pour parer à une coupure de courant sur une courte durée, mais cela ne retire rien à l'aspect dramatique d'une coupure maligne et potentiellement très étendue dans le temps sur un pays.

Je pense que ce qu'il trouve amusant, ce n'est pas la détresse des victimes privées d'énergie mais celle des décideurs mis face à leur responsabilité et aux conséquences de leur manque de considération pour la sécurité informatique. Ça n'a déjà pas le même sens

[Invité]

Un groupe n'alimente généralement que les éléments vitaux et non l'ensemble des installations, même dans le cas d'un hôpital.
Une coupure d'énergie provoquera donc certains dégâts y compris sur un site en partie secourue.

Sans compter que les cuves ont une capacité bien définie, et que dans un contexte de crise l’approvisionnement en combustible sera très vite compliqué.

Et cela ne résout rien à l'infiltration d'origine..

Je pense que ce qu'il trouve amusant, ce n'est pas la détresse des victimes privées d'énergie mais celle des décideurs mis face à leur responsabilité et aux conséquences de leur manque de considération pour la sécurité informatique. Ça n'a déjà pas le même sens

Cela n'a toujours rien d'amusant, car les impacts sont réels et potentiellement graves.

[pcdwarf]

merci à EyZox d'avoir clarifié ce que je voulais dire.

Évidemment que je ne me réjouis pas des misères que ça peut provoquer ! et non, je ne trouve pas ça "fun" au sens de "prout ! haha ! quelle bonne blague !"
Apparemment il y en a qui ont du mal avec le concept d'ironie ou d'humour noir..

La vraie question, ce n'est pas que des pirates arrivent à couper le courant en pénétrant le système informatique.
Il y aura toujours des cons (ou des ennemis) pour essayer....
La vraie question c'est pourquoi ce système informatique est-il vulnérable et surtout pourquoi est-il exposé ?

La mode est à l'interconnexion, la télémaintenance etc etc... Les enjeux de sécurité ne pèsent parfois pas bien lourd vis à vis du confort et de la réactivité qu'apportent les télécommandes.
Je ne suis pas spécialement rassuré à l'idée que de plus en plus d'installation lourdes et critiques soient contrôlable à distance avec des réseaux de contrôle qui ne sont pas rigoureusement étanches.
Espérons que nos centrales nucléaires ne soient pas (trop) télécommandables avec des applis sur smartphone....

Mon propos est que ce genre d'incident est la conséquence plus ou moins directe de mauvais choix en matière de sécurité. Et comme d'habitude, plutôt que de pointer les responsables des défaillances on pointe la virtuosité des méchants pirates qui sont vraiment pas gentils...
Quand des gens ont merdé, ça me semble important qu'on leur mette un minimum le nez dedans, sinon il n'y a aucune raison pour qu'il changent de méthode.

[shkyo]

Tout à fait d'accord avec toi pcdwarf, mais un des principaux problèmes de la sécurité informatique est le même que pour les accidents (de voitures, trains, avions, etc...), il faut une "bonne grosse" catastrophe pour que (certains) décideurs finissent enfin par se dire: "Ah merde! L'autre pénible spécialiste de la sécurité avait finalement raison...".

Regarde rien que les sauvegardes informatiques, ça paraît basique, mais il y a encore des boites (plutôt chez les PME) qui ne s'en inquiètent qu'une fois qu'ils ont perdu des données essentielles, et malheureusement pas avant...

La sécurité, ça coûte cher, c'est chiant et c'est contraignant, mais avec l'interconnexion galopante sur Internet de n'importe quel bidule capable de wifi et/ou de bluetooth, à force de ne pas y faire attention, une boite va finir par pouvoir se faire pirater par l'intermédiaire de sa cafetière dernier cri qui est 100% connectée en permanence...

[Sunchaser]

@chuck norris,

Les hôpitaux comme tous les établissements sensibles a une interruption d'énergie ont des groupes électrogènes.
Justement : ça fait partie de la sécurité.

Pour ce qui est du reste => relire la fin de mon post, j'assumerai.

Salut,
Pour le coup des groupes électrogènes ... pour avoir bossé en tant que prestataire pour le secteur santé, et d'autres d'activité périphériques a la santé, je peux te dire qu'en 15 ans j'ai vu plus d'un test de groupe électrogène qui plantait joyeusement. Heureusement que c'était des tests, parce que bon ... c'est loin d'être fiable a 100%.
Ce que j'aimais, c'était la tête des gens lorsqu'ils s'apercoivent que le "plan de secours" est en rade.
Un peu comme la tête que mon boss et moi on a dû faire lorsqu'on a failli perdre toutes nos données parce que le "plan de secours 1" était insuffisamment testé et nous a "chié dans les doigts". Nul n'est parfait, n'est-ce pas?

[essomba84]

Hello,

rien d'étonnant à tout cela.

Plusieurs problèmes se posent aux fabriquants et clients de SCADA (je parle là dans le domaine de l'énergie, de grosses infrastructures) :
- les technos sont assez vieilles. En effet, les développements coutent chers et de plus les clients refusent des systèmes qui n'ont pas été validés durant des années en production ;
- très souvent les équipes sont habituées à de vieilles technos de SCADA où le SCADA était une boite noire avec du matériel dédié, un OS dédié et du software dédié. Aujourd'hui le SCADA est un soft qui tourne sous un Windows / Linux et les anciens ne comprennent pas qu'en fait les problématiques de sécurité rencontrées sont les mêmes que pour les entreprises de pure IT. De cette mécompréhension naît des problèmes entre les équipes d'intégration IT et les équipes business, les premiers empêchant les seconds de travailler selon les dires des seconds ;
- les couts sont tirés vers le bas par lors des appels d'offres et la sécurité est généralement le parent pauvre du système ;
- les clients eux-mêmes ne comprennent rien aux problématiques de sécurité mais sont contraints de les prendre en compre par leur gouvernements (PSSI de l'ANSSI pour les OIV en France par exemple) ;
- pour répondre à ces problématiques de sécurité, les clients (surtout des pays pas trop mûrs tels que les pays du middle east) font appel à des consultants de sécurité qui sont payés une fortune et ont tout intérêt à faire durer le projet le plus longtemps possible. On se retrouve donc avec des appels d'offre qui ne veulent rien dire en terme de sécurité (en gros une compilation des réponses de google aux questions de sécurité) mais sur lequels les clients sont intransigents car ils ont confiance en leurs consultants ;
- il y a de forts problèmes de corruption : pourquoi acheter un boiboite qui passe 10Gbps pour "protéger" un lien ICCP où 1Mbits en crête circule ? Puis une boiboite avec IDS/IPS alors que le protocole ICCP n'est pas reconnu par l'IDS de la boiboite en question ?
- les systèmes sont assez souvent "offline" ce qui permet de diminuer la surface d'attaque mais complique les mises à jour qui sont assez souvent abandonnées après la période de garantie ;
- etc etc, si ça intéresse je pourrais, malheureusement, développer.

Tout cela fait que les SCADA sur lesquels j'ai travaillé sont en gros :
- assez peu sécurisés en phase de conception (à l'époque les contraintes de sécurité n'étaient pas importantes) ;
- assez peu sécurisés en phase d'intégration (définir des zones et régler les FW ça embête tout le monde) ;
- peu maintenu en terme de sécurité en phase de production ;
- tout en tas de parasites se greffent autour du système pour gratter de l'argent sans rien produire (consultants, corrupteurs, ...).

Conclusion : selon moi, les attaques ne font que commencer.

Laurent

[miky55]

Attention à la terminologie : hackeur ça veut dire bidouilleur, ça n'est pas synonyme de pirate. Le journaliste qui dit hackeur à la place de pirate, c'est celui de Télématin, celui qui dit Meuporg. Voilà.

Ahh les relous de la sémantique! On ne dit pas crypter mais chiffrer, et cetera. En plus il se trouve que hacker convient très bien, c'est un anglicisme accepté de tous et pas seulement des non initiés, on parle bien de hacker "black hat"

[psychadelic]

Vivement l'arrivée en masse des compteurs Linky, avec ça les intégristes de tout poils pourront mettre la France à genoux sans se fouller le petit doigt !

[Fagus]

Les hôpitaux comme tous les établissements sensibles a une interruption d'énergie ont des groupes électrogènes.
Justement : ça fait partie de la sécurité.

Je plussoie. Parfois, le lancement échoue, ou le circuit est mal fait et grille l'électronique (PC, scanner, réseau...) de l'hôpital, qui par "économie", n'est souvent pas équipée d'onduleurs (oui, je parle bien de l'électronique d'engins à 500 000€ qui n'est pas protégée pour économiser). À Saint Antoine, ya qqs années, ils avaient dû évacuer en cata (avec des pertes), car le groupe ne s'est pas lancé (ni le circuit normal après l'"essai").