Le piratage d’infrastructure intéresse de nombreux états. La Russie est suspectée d’être responsable d’un black-out en Ukraine en 2016 et d’espionner le réseau électrique américain, les pirates de ces derniers se sont aussi intéressés au réseau russe. L’entreprise de cybersécurité Dragos a révélé le 9 janvier qu’un groupe, très probablement iranien, cherche également à infiltrer le réseau américain. Inquiétant en pleine période de tension et alors que depuis 2017 une entreprise a affirmé qu’il était possible de couper le courant aux États-Unis.

Un contexte international électrique

Les relations entre l’Iran et les États-Unis sont loin d’être au beau fixe, l’année 2020 est déjà marquée par une escalade des tensions entre les deux pays dans un troisième pays, l’Irak. La nuit du 31 décembre, des milices chiites pro-iraniennes s’en sont pris à l’ambassade américaine à Bagdad. La réplique de Donald Trump ne s’est pas fait attendre avec l’assassinat le 2 janvier du puissant et influent général iranien Ghassem Soleimani, toujours à Bagdad. Selon le principe de l’escalade, l’Iran a répliqué à son tour le 8 janvier par des tirs de missile contre deux bases américaines avec un impact, semble-t-il, limité.

Le lendemain de la contre-attaque iranienne, le groupe de cybersécurité Dragos a publié un rapport pointant du doigt le risque d’une action de la République islamique directement aux États-Unis, contre le système électrique du pays, grâce à un groupe de hackers appelé Magnallium, aidé par un autre groupe surnommé par les analystes de la société « Parisite ».

Dragos se montre prudent sur l’affiliation du groupe de hacker Magnallium que leurs équipes semblent suivre depuis un certain temps. Elles affirment que le groupe a été connu sous plusieurs noms, Refined Kitten, Elfin et surtout APT33. Sous d’autres appellations, il semble avéré que le groupe est lié à l’Iran.

Une campagne de piratage, via la « pulvérisation de mot de passe » qui dure depuis 2019

Magnallium et Parisite visent depuis 2019 les compagnies américaines d’électricités, pétrolières et gazières. Ils mènent des campagnes de « password-spraying » que l’on pourrait traduire par « pulvérisation de mot de passe ». Le principe consiste a tenter de deviner un ensemble de mots de passe commun à des centaines voire des milliers de comptes.

Ce ratissage avait déjà été remarqué par Microsoft en novembre 2019. L’entreprise avait conclu que le « password-spraying » pouvait être une première étape d’une tentative de sabotage et/ou d’espionnage industriel.

Rob Lee, ancien analyste de la NSA et fondateur de Dragos, relativise la menace en expliquant que les logiciels utilisés ne sont pas suffisamment sophistiqués pour accéder à ceux très spécialisés qui contrôlent les équipements physiques des réseaux électriques ou des installations pétrolières et gazières « Je n’ai vu aucune capacité de leur part à causer une perturbation ou une destruction importante de l’infrastructure » affirme-t-il.

Joe Slowik, l’un des analystes de Dragos avertit toutefois, « Faire des choses de manière aussi généralisée, même si cela semble non ciblé, négligé ou bruyant, leur permet d’essayer de mettre en place, relativement rapidement et à peu de frais, de multiples points d’accès qui peuvent être étendus à des activités de suivi à un endroit de leur choix ».

Les cyberattaques iraniennes, encore peu sophistiquées, mais pas inoffensives pour autant

Une autre entreprise en cybersécurité, FireEye, qui s’est elle-même penchée sur Magnallium lorsque le groupe s’appelait encore APT33 est plus alarmiste. John Hultquist, directeur du renseignement de l’entreprise, rejoint les analystes de Dragos sur le manque de sophistication de Magnallium, mais souligne que cela ne les empêche pas d’agir, « Encore et encore nous les avons vus effacer les disques durs que les entreprises utilisent pour faire tourner leurs affaires et quand celles-ci s’arrêtent, cela coûte une fortune ».

En somme, les hackers iraniens ne semblent pas actuellement capables de couper le courant aux Américains, mais ils pourraient s’en prendre efficacement au réseau informatique d’une compagnie d’électricité. Le cyberespace est l’un des seuls moyens pour les Iraniens de se mesurer à la puissance des États-Unis et potentiellement de s’en prendre à eux, directement sur leur territoire, il y a peu à douter que le gouvernement de Téhéran cherche à se doter de telles capacités.