Doit-on craindre les attaques pirates contre nos infrastructures ?

Les cyberattaques qui paralysent des villes entières sont un motif récurrent des films d'action tels que Die Hard ou Black Hat. Mais dans le monde réel, les opérations de piratage visant les infrastructures sont extrêmement rares. Pourtant, cela n'a pas empêché le public et les médias de s'inquiéter des conséquences possibles d'événements de ce genre. Mais existe-t-il vraiment des pirates susceptibles de s'attaquer au réseau électrique ou de fracturer des puits pour le plaisir ?

Mardi dernier, nous avons eu un aperçu des mouvements de panique que peut susciter ce genre de craintes, quand un ministre israélien a révélé que le principal distributeur d'énergie électrique du pays avait subi « une cyberattaque d'une violence sans précédent, » selon le Jerusalem Post. Cette déclaration a encouragé les journalistes à titrer leur article : « Le réseau électrique israëlien mis en danger par une cyberattaque massive », suscitant l'attention d'autres médias qui ont aussitôt repris l'information.

Pourtant, « la cyberattaque » en question ne ciblait pas du tout le réseau électrique. Ce n'était pas vraiment une « cyberattaque » non plus, d'ailleurs. Ynet News a confirmé un peu plus tard qu'en réalité, un employé de la Direction des services électriques du pays avait été dupé par un spam. Après avoir subi une tentative de phishing, la personne en question a été infectée par un ransomware.

Et c'est tout.

Pour les experts en systèmes de contrôle industriels et en sécurité informatique, nous avons là le parfait exemple d'un événement où un organisme gouvernemental donne des informations floues et incomplètes, ce dont les médias profitent pour inventer une menace théorique de grande ampleur.

« L'utilisation du mot attaque est tout à fait inapproprié, » explique Michael Toecker, ingénieur en systèmes de contrôle et consultant. « Pourtant, on a l'impression que c'est le genre de menace avec laquelle les compagnies électriques doivent composer au quotidien. »

Toecker a tout de même souligné que nous ne devrions pas négliger la possibilité d'une attaque informatique sur des infrastructures essentielles. Au contraire, tous les constructeurs devraient mettre en place des protections sur les installations concernées, et isoler leurs réseaux d'entreprise de leurs systèmes de contrôle. Ainsi, les attaques malveillantes sur un poste ne pourraient pas permettre aux pirates d'accéder immédiatement à un autre poste. De même, les gouvernements, les experts en sécurité et les fournisseurs devraient être bien informés des risques réels, sans pour autant paniquer à la moindre occasion.

« Il est certain que ce sujet doit être discuté en profondeur ; le problème, c'est que dès que nous abordons le sujet de la sécurité informatique, les décideurs ont tendance à se disperser. Ils voient le problème de la sécurité informatique comme un problème monolithique. Je crains qu'en entamant des campagnes d'information, nous allions trop loin. De très mauvaises décisions pourraient résulter de tout cela, » explique Toecker.

Malware on an ICS network is not uncommon. Targeted intrusions that lead to outages are. Knowing the difference can be difficult.

Robert M. LeeJanuary 27, 2016

Dans le sillage des pannes électriques en Ukraine, qui ont été causées en partie par une souche de malwares connue sous le nom de BlackEnergy, les cyberattaques sur les infrastructures critiques sont devenues une préoccupation de premier plan. Pourtant, même dans dans le cas ukrainien, ce ne sont pas les attaques informatiques qui ont directement provoqué les pannes. Par ailleurs, celles-ci sont restées très localisées.

« Les humains ont du mal à évaluer les risques en général, » affirme Patrick Muller, un partenaire de la société de conseil en sécurité Archer Energy Solutions. « Ils sont terrorisés par les cyberattaques alors qu'en réalité, les infrastructures connaissent régulièrement des événements bien plus dramatiques : les catastrophes naturelles. Les dégâts que Mère Nature peut leur infliger et les accidents en général seront toujours plus préoccupants que la menace d'un pirate informatique, dont la marge de manoeuvre est assez faible. »

En fait, les écureuils causent plus de pannes électriques que les pirates. Selon l'extraordinaire site web CyberSquirrel1.com, dédié à l'actualité des pannes causées par les rongeurs (et autres animaux), 623 opérations que les médias qualifieraient volontiers de « cyberattaques » ont, en fait, été menées par des écureuils.

Nous devrions peut-être arrêter de crier au loup. Jusqu'à présent, les attaques de grande ampleur sur nos infrastructures sont une menace théorique plus qu'une réalité. Par ailleurs, si nous ne cessons pas d'exagérer constamment les événements liés à la sécurité informatique, nous risquons de désensibiliser le public et de cesser, à terme, de prendre ces menaces très au sérieux. Les méchants pirates ne sont pas près de nous plonger dans le noir.

« Jusqu'à présent, les rares cyberattaques réussies sur des systèmes d'alimentation en énergie ont été considérés par les distributeurs comme des nuisances mineures, » ajoute Miller. « Ils craignent bien davantage les tempêtes (et les écureuils), qui ont causé énormément de pannes dans le passé, et détériorent régulièrement le matériel. »

« Pour le moment, le scénario où des pirates mettent le réseau électrique hors d'usage est complètement absurde, » conclue-t-il.