Les autorités américaines ont révélé le 13 avril avoir été informées que des auteurs de menaces persistantes avancées, de l’anglais advanced persistant threat, sont en capacité d’accéder aux systèmes de supervisions (ICS) et aux systèmes de contrôle et d’acquisition de données (SCADA) de nombreux appareils industriels grâce à un logiciel malveillant.

Un logiciel malveillant pour paralyser les appareils industriels

C’est le département de l’Énergie des États-Unis, la Cybersecurity and Infrastructure Security Agency, la National Security Agency et le Federal Bureau of Investigation qui ont sonné le signal d’alarme. D’après eux, le logiciel pourrait affecter les contrôleurs logiques programmables (PLC) du groupe Schneider Electric, ceux de l’entreprise OMRON, ainsi que des serveurs Open Platform Communications Unified Architecture. Les PLC sont principalement utilisés dans l’automatisation de systèmes dans de nombreux secteurs allant du traitement d’eau, au secteur automobile, en passant par l’agroalimentaire...

Le malware a été découvert en début d’année par la société de cybersécurité Dragos. Surnommé Pipedream, celui-ci serait capable de perturber, de saboter voire de détruire physiquement les appareils ciblés. Il pourrait effectuer 38 % des attaques techniques connues sur les ICS et jusqu’à 83 % des attaques tactiques. L’intention derrière ces attaques serait de tirer parti de l’accès aux systèmes ICS pour élever ses privilèges, se déplacer au sein des environnements et saboter les fonctions critiques. Le rapport de l’entreprise mentionne néanmoins que le logiciel malveillant, malgré ses effets destructeurs et bien qu’identifié dans plusieurs systèmes, n’est pas encore passé à l’action.

Le gouvernement américain appelle les entreprises privées, particulièrement celles du secteur de l’énergie, à mettre en place leurs recommandations afin de détecter et atténuer les activités malveillantes éventuelles. Il recommande le renforcement des moyens d'authentification à double facteur, le changement régulier des mots de passe, et d’utiliser une solution de surveillance continue pour enregistrer et signaler les comportements malveillants.

La Russie potentiellement impliquée

Si les autorités américaines n’ont pas attribué les faits à un groupe de hackers ou à un pays en particulier, l’entreprise de cybersécurité américaine Mandiant estime que le logiciel a de grandes chances d’appartenir à un groupe soutenu par un État. Elle appuie cette hypothèse sur la complexité du malware, son expertise, les ressources nécessaires afin de le développer, et son faible intérêt lucratif.

Dans son article, Mandiant explique que l’activité de Pipedream est cohérente avec les efforts menés précédemment par Russie et ses intérêts historiques à compromettre les systèmes de contrôle industriels. Une menace d’autant plus sérieuse puisqu’elle s’inscrit dans le contexte de la guerre en Ukraine. Début avril, la Computer Emergency Response Team ukrainienne avait déjoué une cyberattaque massive contre son réseau électrique.

En mars dernier, l’administration Biden avait déjà signalé des « activités préparatoires » du côté russe en vue de cyberattaques. « Si vous ne l'avez pas encore fait, j'invite instamment nos partenaires du secteur privé à renforcer immédiatement leurs cyberdéfenses ». Le président américain avait rappelé aux entreprises, notamment celles gérant des infrastructures critiques, de se tenir prêtes.