Blog GlobalSign

26 nov. 2019

Du nouveau sur la 1ère attaque contre le réseau électrique américain

Les révélations de ces dernières semaines ont apporté un nouvel éclairage sur la cyberattaque menée contre les fournisseurs d'énergie de l'ouest des États-Unis en mars dernier. Ces informations m’ont rappelé à quel point il était important que les incidents soient signalés rapidement et avec précision pour que notre réseau de production et transport d'électricité soit protégé en continu. Devant l’augmentation des cybermenaces dirigées contre notre réseau de plus en plus interconnecté, cette recommandation prend tout son sens.

Certes, il n’y a pas eu de black-out électrique et il est, pour l’heure, impossible de savoirs’il s’agissait d'une attaque ciblée. Le 5 mars dernier, les attaquants ont néanmoins pu exploiter les vulnérabilités des pare-feux de plusieurs opérateurs d’énergie de l’ouest des États-Unis entre 9h12 et 18h57, c’est-à-dire pendant 10 heures. Le fournisseur d’électricité a toutefois noté une absence périodique de visibilité sur ses opérations et des interruptions d'exploitation du système électrique dans le comté de Kern, en Californie et dans le comté de Converse, dans le Wyoming.

On notera que l’attaque du mois de mars est le premier incident connu à perturber ainsi les opérations des fournisseurs d’énergie. Mais, comme l’indique CNBC dans un reportage sur l’incident, dans le cas présent, les « opérations » ne désignent pas la fourniture d’électricité aux usagers, mais pourraient désigner les systèmes informatiques utilisés sur ces sites — y compris ceux utilisés pour exécuter des fonctions de bureautique ou des logiciels d’exploitation.

On pourrait voir l’incident comme une attaque par déni de service (type d’attaque que l’on peut prévenir). Mais au vu des alertes du gouvernement américain face à un incident « plutôt réussi » comme celui-là, on peut s’interroger sur la capacité des services à l’énergie à déjouer une attaque beaucoup plus sophistiquée.

Comme le rapporte l'Etat-major du North American Electric Reliability Corporation (NERC), il semblerait que l’attaque menée contre un fournisseur d’électricité de l'ouest des États-Unis (dont l’anonymat reste préservé) ait profité d’une faille du pare-feu qu’une meilleure gestion des correctifs aurait permis d’éviter. Quoi qu’il en soit, le NERC mérite d’être applaudi pour sa communication sur l’incident et la transmission d’un rapport aux acteurs de l’énergie sur les leçons tirées.

À propos des attaques par DDoS

Les attaques par déni de service distribué (DDoS) se sont généralisées dans le cyberespace. Similaires aux autres types d'attaques DoS, elles se distinguent essentiellement par la multiplicité des sources du trafic qui fait tomber les serveurs ou systèmes de leurs victimes. Le fait de répartir l'attaque entre plusieurs sources accroît la force de frappe potentielle des pirates et complique leur neutralisation. Il est également plus difficile d’identifier les auteurs de ces attaques.

Les attaques DDoS parviennent à leurs fins lorsque plusieurs sources différentes frappent de façon synchronisée, souvent via un botnet. Un botnet désigne un réseau combiné de systèmes ou d’appareils piratés, connectés à Internet, contrôlés à distance comme un tout. Les pirates y ont souvent recours pour envoyer des e-mails de spam ou d’hameçonnage ou pour exposer des informations bancaires. Les botnets jouent également un rôle central dans les attaques DDoS. Certains pirates informatiques proposent même à des cybercriminels non qualifiés des botnets à la location pour leur permettre de commettre leurs forfaits.

Avec les attaques DDoS, les pirates s’appuient sur leur parfaite maîtrise du tempo pour maximiser leur force de frappe. Ces dernières années, la banque HSBC, la PlayStation, la Xbox et bien d’autres n’ont pu échapper à ce type d’attaques que les pirates lancent généralement pendant les fêtes pour frapper un grand coup. Mais comme dans le cas de HSBC, les hackers peuvent aussi choisir d’attaquer en dehors de toute période particulière.

Même si les précédentes attaques DDoS n'ont pas encore touché d’infrastructures critiques, leurs chances d’aboutir attestent de l’évidente nécessité de mener une surveillance resserrée. Heureusement, l’incident survenu en mars sur le réseau électrique de l’ouest des États-Unis n’a pas pris une ampleur démesurée. Aucun centre de commandement majeur n’ayant été touché, les perturbations ont donc été limitées.

Que l'attaque ait abouti ou non, il importe de rappeler aux exploitants de réseaux de production-transport d'électricité (BES, Bulk Electricity System) qu’ils sont désormais tenus de signaler à la fois les incidents de cybersécurité qui compromettent ou tentent de compromettre le périmètre de sécurité électronique ou le système de surveillance d'une « entité responsable ».

Dans son document CIP-008-6, le NERC préconise d'atténuer les risques d’atteintes au fonctionnement fiable des systèmes de production-transport d’électricité provoquées par un incident de cybersécurité. En précisant les obligations d'intervention en cas d'incident, le document vient combler un manque flagrant dans ses précédentes exigences sur le sujet. Jusqu'à l'entrée en vigueur du CIP-008-6, seules les tâches de fiabilité réellement compromises ou perturbées devaient être signalées. La position des fournisseurs d’électricité continue de progresser sur le sujet de la sécurité, et le fait de signaler et de communiquer en continu sur les attaques, même avortées, ne peut que renforcer l’écosystème de la production-transport d’électricité.

À l’heure où les cyberattaques dans les infrastructures informatiques de base augmentent et se complexifient, les entreprises doivent en permanence faire évoluer leurs dispositifs de cybersécurité. Découvrez vite les dernières menaces — et l’impact qu’elles peuvent avoir sur vous.

Pour une entrée en matière, nous vous invitons à consulter les liens ci-dessous :

https://www.globalsign.fr/fr/blog/limpact-des-attaques-par-deni-de-service-a-iot/

https://www.globalsign.fr/fr/blog/conseils-cybersecurite-secteur-electrique/

https://www.globalsign.fr/fr/blog/b-a-ba-des-attaques-par-deni-de-service/

https://www.globalsign.fr/fr/blog/guide-de-prevention-des-attaques-de-zombies-iot/

https://www.globalsign.fr/fr/blog/comment-contrer-une-attaque-ddos-sur-un-serveur-cloud/

par Lila Kee

Partager ce blog