Un nouveau malware cible le réseau électrique

© AFP
Els Bellens

Des chercheurs en sécurité ont découvert un nouveau maliciel (malware) qui cible spécifiquement les réseaux électriques en vue de les paralyser. Le malware est appelé ‘Industroyer’ ou ‘Crashoverride’ et serait responsable d’une panne électrique en Ukraine.

Selon le producteur antivirus ESET, le nouveau maliciel pourrait être une menace du niveau du virus Stuxnet. Selon les chercheurs d’ESET, le malware Win32/Industroyer aurait provoqué une panne d’électricité à Kiev, capitale de l’Ukraine, qui s’est retrouvée privée de courant une heure durant, fin 2016. Un rapport d’une deuxième firme de sécurité, Dragos, évoque elle le malware ‘Crashoverride’.

Le maliciel a ceci d’étonnant qu’il ne s’en prend pas, comme assez souvent, aux systèmes Unix ou Windows, mais qu’il se focalise spécifiquement sur les processus industriels. Selon les chercheurs, il est capable d’endommager l’infrastructure électrique, mais il peut aussi assez facilement être adapté en vue de pénétrer dans d’autres types d’infrastructure cruciale, comme l’eau et le gaz. Industroyer serait par exemple à même de prendre le contrôle des commutateurs et des fusibles principaux d’un système électrique.

Selon le rapport des chercheurs, Industroyer exploite les protocoles existants de la même manière qu’ils ont été conçus, il y a plusieurs décennies. A l’époque, les systèmes industriels restaient encore parfaitement isolés du reste du monde, et les protocoles de communication qui les commandaient, n’étaient donc pas très bien sécurisés. ESET signale que les pirates ne devaient donc même pas rechercher les points faibles dans les protocoles, mais se contenter de concevoir un maliciel permettant de ‘dialoguer’ de manière identique à celle de ces protocoles.

Stuxnet

Du point de vue technique, le malware se présente de manière modulaire. Il est constitué d’un composant ‘backdoor’ (porte dérobée) permettant aux assaillants de pénétrer dans le système. Les autres composants s’installent ensuite, et le premier établit une connexion avec le serveur des pirates à des fins de commande. Les composants ‘payload’, à savoir les fragments de software qui exécutent l’attaque proprement dite, peuvent prendre le contrôle des commutateurs et des fusibles dans une sous-station électrique (une partie du réseau haute tension).

Le maliciel Industroyer fait un peu penser au virus Stuxnet, l’un des premiers vers industriels bien connus. Contrairement à du malware connu tel WannaCry, qui a attaqué des ordinateurs individuels, Stuxnet était spécifiquement conçu comme une arme de guerre. Il aurait entre autres été utilisé pour endommager le programme d’armement de l’Iran. Le nouveau malware Industroyer semble provisoirement n’être exploité que dans des attaques en Ukraine.

Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici

Contenu partenaire