L’institut SANS a publié samedi un rapport sur la panne électrique qui a affecté l’Ukraine le 23 décembre dernier. Pour le directeur de la division ICS (Industrial Control Systems), les preuves sont là : les centrales touchées ont été les cibles d’une campagne d’attaque savamment orchestrée.
La semaine dernière, nous relations comment des centrales électriques en Ukraine avaient subi une importante avarie. À la faveur d’un rapport publié par la société de sécurité ESET (éditeur de l’antivirus NOD32), on apprenait qu’un malware avait très tôt été soupçonné d’être à l’origine du vaste problème, qui avait provoqué des pannes de courant dans toute une région du pays. La piste avait été émise initialement par les médias ukrainiens, mais plusieurs sociétés avaient enquêté et trouvé un faisceau de preuves qui ne laissait guère de place pour le doute.
Des morceaux du malware BlackEnergy avaient ainsi été retrouvés. ESET expliquait que le suivi de ce malware, dont la création remonte à 2007, montrait des mises à jour successives et un plus grand éventail de fonctionnalités. Étaient surtout pointées des capacités de nuisance pour des systèmes SCADA (Supervisory Control And Data Acquisition)- des infrastructures de contrôle et de gestion des données sur de larges échelles – ainsi que KillDisk, conçu pour détruire les disques durs et empêcher les machines touchées de redémarrer.
Trois composantes pour une organisation réussie
L’institut SANS, spécialisé dans la formation et les certifications de sécurité, a publié samedi un rapport qui confirme cette piste. Le directeur de la division ICS (spécialisée justement dans les systèmes SCADA), Michael Assante, explique ainsi que les pirates ont montré « une planification, une coordination et la capacité à utiliser des malwares et probablement un accès à distance » pour leurrer les systèmes. Ils ont provoqué des « changements d’état indésirables dans l’infrastructure de distribution de l’énergie et ont tenté de retarder sa restauration en vidant les serveurs SCADA ».
Il ajoute par ailleurs des informations inédites. Selon le rapport, l’attaque s’appuyait principalement sur trois briques : le malware lui-même, une attaque par déni de service sur le système téléphonique et une pièce manquante qui prouve la « cause finale de l’impact ». Cet dernier élément, au vu des caractéristiques de l’attaque, serait bien un composant tiers en relation directe avec les auteurs, et non une conséquence de BlackEnergy. Il pourrait s’agir en fait de l’utilitaire SSH masqué dont il était déjà question dans le rapport d’ESET.
Cause de la panne, documents Office : des doutes subsistent
Les explications de l’institut sont intéressantes en ce qu’elles insistent sur un point précis : il n’y a aucune preuve montrant que le malware BlackEnergy soit la cause de la panne. Il s’agit selon les chercheurs d’une conjonction des trois éléments précités, BlackEnergy servant alors à créer la confusion, l’attaque DoS à empêcher la coordination des équipes techniques et le dernier composant à provoquer la panne proprement dite. Le malware aurait donc servi d'agent perturbateur, créant le contexte adéquat pour réussir l’attaque.
Le SANS doute cependant de la manière dont BlackEnergy a effectivement pu arriver sur les machines dans les centrales. La piste envisagée jusqu’ici, des documents Office contaminés, n’est pas suffisamment étayée. Elle serait basée uniquement sur le fait que des infections par BlackEnergy ont effectivement eu lieu par ce biais dans le passé.
Globalement, le nouveau rapport va quand même dans le sens des précédents. Il n’est plus guère permis de douter de l’existence d’une attaque très organisée et de l’utilisation de plusieurs composants malveillants pour provoquer la panne. Cependant, on rappellera qu’en dépit de la multiplication des rapports, le ministère ukrainien de l’Énergie est toujours en pleine enquête. La confirmation officielle de l’attaque est donc en attente, d’autant qu’aucune des sociétés de sécurité n’a fourni de piste sur les auteurs présumés.
Commentaires (44)
#1
J’espère que les différents groupes ou entreprises de gestion des centrales nucléaires dans le monde lisent cette actu :)
#2
#3
et c’est quoi leur utilité de faire ça ….
le but, c’est juste faire chier les gens, ou y à un but derrière ? (question sérieuse hein, je me demande ^^‘)
#4
Une panne électrique générale en Ukraine , tu vois vraiment pas qui se cache derrière ?
:)
#5
#6
Ou a minima, qui aurait pu payer pour ça ;-)
#7
Moi je dis : ça sent le gaz.
#8
" />
" />
J’ose espérer que ce n’est pas vrai ^^
#9
#10
#11
#12
Pourquoi pas la Russie pour accuser l’OTAN d’accuser les russes " /> ?
#13
Vu qu’ils sont à l’origine de toute notre technologie, ca serait pas surprenant qu’ils s’amusent un peu, la Terre n’étant qu’un zoo géant qu’ils observent pour voir un peu ce qu’on fait de leur don " />
#14
#15
ils ont du mal a décuver dis donc " />
#16
#17
Déstabiliser un pays et le discréditer par rapport à la glorieuse Crimée. Je ne saurais pas dire par contre s’il reste des territoires d’Ukraine loyaux à la Russie (comme l’était la Crimée) et donc à récupérer suite à référendums par exemple.
#18
bientôt le virus qui déclenche une guerre nucléaire !
#19
#20
Certains, oui " />
Si je comprend bien, ce qui a été attaqué, c’est les applications qui permettent d’établir la distributions d’énergie, et non la production en soit.
Il y a eu une attaque de ces machines, donc la procédure de reprise a été enclenchée, mais elle a été retardée par le DDOS sur le service de téléphonie. En plus d’être attaqués, les machines ont été vidées, ce qui a compliqué la procédure de reprise, qui quand elle est mal conçue prévoie de récupérer de la conf sur ces machines pour les reproduire dans le réseau de secours.
Il n’y a rien qui dis que les machines de productions d’énergie ont été attaqués, comme ça avait été le cas en Iran.
Note à l’auteur : ça serait super d’ajouter un lien au passage “SSH masqué dont il était déjà question dans le rapport d’ESET”. " /> J’ai l’impression que c’est le liens entre les ordi infectés par les documents offices vérolés et les serveurs sous unix qui ont été attaqués.
#21
Ou un mec diabolique assis dans un grand fauteuil, avec un chat. " />
#22
#23
Merci pour l’explication :)
Le rapport d’enquête officiel ukrainien nous apportera peut être la réponse.
#24
https://xkcd.com/970/
#25
#26
Babyboom ukrainien dans neufs mois…
#27
#28
#29
Il leur en a appris des ruses aux russes, Snowden, depuis le peu de temps qu’il est là haut…
#30
Ca ressemblerait pas à un retour du berger à la bergère, après les attentats sur des pylones HT en Ukraine pour couper l’alimentation de la Crimée?
genre nous on le fait mais plutot version KGB que KMKZ? " />
#31
Pas la peine de chercher! C’est juste un ado boutonneux qui voulais rigoler un peu
#32
#33
#34
#35
#36
http://www.theguardian.com/world/2004/nov/26/ukraine.usa
https://fr.wikipedia.org/wiki/R%C3%A9volution_orange#Le_financement_de_la_R.C3.A9volution_orange http://www.state.gov/p/eur/rls/rm/2013/dec/218804.htm (attention site du gouvernement américain, hautement complotiste )
«We’ve invested over $5 billion to assist Ukraine in these and other
goals that will ensure a secure and prosperous and democratic Ukraine.»
Donc c’est factuel, que l’Europe est les USA financent / ont financé les mouvements allant dans leurs sens. Je dis pas que c’est bien/mal, mais c’est le cas. Je dis pas qu’une partie du peuple a pas suivi non plus, ils avaient un espoir d’ouverture avec l’europe etc…
Donc quand on connait pas un sujet, plutôt que d’accuser les autres de complotistes, on vérifie ses infos… " />
Tu ne comprends pas non plus les intérêt géostratégiques de controler les routes (ou plutôt les régions/pays) par où passe les pipelines visiblement.
https://www.youtube.com/watch?v=mNlA2mjmWAs
#37
Quand à ton article, rien de factuel, uniquement de la propagande…
«Aux États-Unis des élections libres » (énorme lol, libre pour les blancs et dans les états qui ne trichent pas cf Texas)
« Ils veulent plus de démocratie blabla». Alors le sujet principal de l’Euromaïdan c’était le rapprochement, l’intégration dans l’UE, ABSOLUMENT PAS la démocratie. Depuis quand Europe = Démocratie ? Aucun rapport
« Selon cette approche, les peuples sont dépourvus de toute volonté ou
capacité d’action autonomes ; ils sont les spectateurs passifs de leur
propre histoire, manipulables à merci et incapables de prendre en main
leur destin. De fait, une telle grille de lecture revient à enfermer les
masses dans un statut irrémédiable de minorité et procède d’un
paternalisme qui peut être vu comme insultant pour celles et ceux qui,
au risque de leur vie, se soulèvent pour leur dignité et le respect de
leurs droits. »
Sans blagues ? Tu doutes de ça ?
« Les chefs d’Etat américains successifs et leurs équipes […] ne seraient que des pantins à la
solde d’intérêts supérieurs, ceux des multinationales ou de la « finance
internationale »
Ahah, ça aussi c’est faux c’est ça ? C’est d’une grande naïveté.
#38
#39
#40
#41
1-Alors déjà j’ignore pas ce que font les russes, je pensais pas qu’il
était utile de parler de ce qui coule de source pour nous deux… Je
critique la diplomatie occidentale donc je suis pro-russe ? Tu serais
pas un fils caché du G.W. Bush ?
2-Jamais parlé d’opérations clandestines
3-Jamais
dit qu’ils créaient la révolution de toute pièce, sauf qu’appuyer un
mouvement parmi d’autres c’est arbitraire, et pas souvent légitime.
Comme la dernière «révolution» ukrainienne, où par manque d’assise
politique et populaire du mouvement (toujours pas dit qu’ils ne sont pas
légitimes), l’Europe a donc intégré les néo-nazis violents au mouvement
pour pouvoir renverser l’ancien gouvernement. Ces même néo-nazis qui
ont intégré le 1er gouvernement post «révolution» (ils se sont fait
jarté après). Donc pas de problèmes à traiter avec les néonazis si c’est
pour la démocratie…
4- « On avait besoin de contrôler tout le Moyen Orient jusqu’à présent pour avoir du pétrole ou du gaz ?»
Heu comment dire… CF toutes les guerres du golf… la guerre en Libye…
5-
Tu considères que les élections sont libres et non biaisés aux USA ?
Vraiment ? Renseigne toi sur la façon dont fonctionne le vote là bas.
Dans certains Etats pour voter, il faut un permis de port d’arme et
c’est fait pour maintenir un électorat blanc majoritaire… Le découpage
des circonscriptions. La triche, là où les machines à voter sont
autorisés comme au Texas.
6- «Pas de rapport entre le rapprochement avec l’Europe et la démocratie ? Sérieusement ?»
Me
prends pas pour un débile non plus. Je comprends totalement que ce lien
soit fait, logique, libération de l’ingérence de la Russie etc… Oui ce
mouvement pro-européen s’est créé dans l’espoir de rejoindre une Europe
plus libre, démocratique etc… Mais ça c’est sur le papier. Quand on voit
ce qu’il s’est passé au parlement après la mise en place de la
«démocratie», lol… Il y aura probablement un alignement démocratique et
de liberté sur les autres pays européens, ça d’accord, mais en
attendant, l’Ukraine a quitté le clan Russie pour rejoindre le clan OTAN
c’est tout.
#42
4- « On avait besoin de contrôler tout le Moyen Orient jusqu’à présent pour avoir du pétrole ou du gaz ?»
Heu comment dire… CF toutes les guerres du golf… la guerre en Libye…
Les 2 guerres du Golfe (pas golf, le sport) n’ont pas à voir avec l’obtention du pétrole.
En 1991 quand l’Irak a envahi le Koweit je n’ai pas souvenir qu’il ait arrêté de produire du pétrole ; et une énorme coalition internationale a lutté contre (compréhensible aussi des voisins qui voulaient la stabilité).
En 2003 c’est tout à fait différent, il n’y avait que les USA (avec le soutien de l’Angleterre), et on peut discuter de l’opportunité pour les USA d’y aller, sachant que pour la plupart des pays ça n’avait pas trop de sens, dont la France en pointe. Mais c’est pareil, le pétrole irakien se vendait toujours.
Donc non, on n’a pas besoin d’avoir le contrôle d’un pays producteur de pétrole pour acheter sa production. Un pays producteur de pétrole ne cherche que ça, de vendre son pétrole.
Un journaliste australien avait un point de vue inédit, il pensait que l’action des US en 2003 n’avait pas à voir avec l’approvisionnement en pétrole, mais avait en partie pour motif d’empêcher la montée de l’usage de l’Euro dans le paiement du pétrole. Je ne sais pas ce qu’en pensent des économistes.
#43
L’Irak a annexé le Koweit pour controler son pétrole, évidement qu’ils n’ont pas arrêté d’en vendre.
« on n’a pas besoin d’avoir le contrôle d’un pays producteur de pétrole pour acheter sa production»
Non mais si on possède la production, on peux fixer les prix et on empoche les benefs, ça fait quand même une énorme différence non ? L’Irak n’a pas envahi le Koweit pour son pétrole ? Pour quoi alors ?
« Un journaliste australien avait un point de vue inédit, il pensait que
l’action des US en 2003 n’avait pas à voir avec l’approvisionnement en
pétrole, mais avait en partie pour motif d’empêcher la montée de l’usage
de l’Euro dans le paiement du pétrole. Je ne sais pas ce qu’en pensent
des économistes. »
La théorie complotiste " /> Les américains ont attaqués l’Irak pour faire chuter l’Euro et pas pour prendre le pétrole, bien sur… C’est toi qui déraille là.
#44