Les attaques informatiques sur les infrastructures industrielles viennent de passer un nouveau cap, avec l’apparition de « Triton », également appelé « Trisis », un malware très sophistiqué dont le but est de provoquer des dommages matériels voire humains. Il a été détecté sur une station de travail Windows d’un site industriel localisé au Moyen-Orient. Son analyse par les chercheurs en sécurité de FireEye et de Dragos révèle qu’il ciblait les systèmes de sécurité des processus Triconex du groupe Schneider Electric.
Ces systèmes – que l’on appelle aussi Safety Instrument Systems (SIS) – sont très importants car ils contrôlent en permanence l’état d’un équipement tout au long d’un processus industriel. S’il s’avère que cet état est hors des clous, les produits Triconex vont faire en sorte que l’équipement soit ramené vers un fonctionnement sécurisé. Ils peuvent par exemple arrêter l’introduction d’un gaz dans le réservoir d’une raffinerie si la température est trop élevée. Ou encore stopper la rotation d’une machine si elle met en danger la vie des opérateurs. Selon Schneider Electric, les systèmes Triconex ont été déployés plus de 18.000 fois dans le monde, dans des secteurs aussi variés que la pétrochimie, l’énergie, la mécanique, l’aéronautique, etc.
La station de travail sur laquelle a été trouvée Triton servait justement à programmer à distance les systèmes Tritonex, au travers d’un logiciel baptisé Trilog. Le code malveillant a été conçu de telle manière à pouvoir se substituer à Trilog, dialoguer directement avec les système Tritonex et modifier leur logique de contrôle.
Ces modifications auraient pu assez facilement provoquer un arrêt du site industriel. Mais apparemment, les pirates avaient un but beaucoup plus précis qu’ils n’ont pas réussi à atteindre en raison d’un bug dans leur code malveillant. Compte tenu des efforts déployés, FireEye estime que les pirates cherchaient probablement à lancer une attaque pouvant provoquer un maximum de dommages physiques. Comment ? En provoquant un fonctionnement dangereux du site industriel après avoir reprogrammé les systèmes Triconex pour qu’ils n’interfèrent pas dans une telle situation. Il faut souligner que Triton n’exploite pas de bug ou de faille de sécurité dans les produits de Schneider Electric. C’est l’infection de la station de travail qui permettait au pirate d’accéder à ces équipements de sécurité.
Une attaque très ciblée
Dès lors, faut-il craindre une vague de destruction des usines dans le monde ? Non, car Triton est une attaque extrêmement ciblée. La logique de contrôle d’un système Tritonex est intimement liée au processus industriel qu’il est censé surveiller. Pour réaliser une telle opération, le pirate doit nécessairement connaître de manière approfondie ce processus industriel. « Le niveau de connaissances requis spécifique au SIS et à l’installation d’un traitement ciblée est significatif, et probablement impossible d’obtenir par des moyens d’espionnage purement réseau », explique Dragos, tout en ajoutant que cela nécessitait une « intrusion longue et hautement qualifiée ». C’est pourquoi FireEye estime que l’acteur qui a créé ce malware est probablement sous les ordres d’un état, voire même une agence gouvernementale.
Quoi qu’il en soit, cette histoire prouve que les pirates montent en compétence dans le secteur industriel. Selon Dragos, Triton est le cinquième malware publiquement connu et spécialisé dans le piratage d’équipements industriels, mais le premier à s’attaquer aux systèmes de sécurité des processus. Avant lui, il y eu Stuxnet (sabotage de sites nucléaire iraniens), Havex (espionnage du secteur énergétique européen), BlackEnergy et Crashoverride (piratages du réseau électrique ukrainien). La série n’est pas prête d’être terminée.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.