Les fournisseurs d’énergie, cibles de choix des hackers

Les anti-Linky et autres Robins des Toits vont jubiler. Les mois de juin, juillet et août 2017 ont enregistré toute une série de cyber sabotage contre des fournisseurs d’énergie en Suisse, en Turquie et aux États-Unis. Repérée par l’éditeur Symantec, appuyé par plusieurs groupes de cyber sécurité gouvernementaux, l’attaque porte la signature de Dragonfly. Il s’agit d’un groupe de cyber-espionnage qui cible principalement le secteur de l’énergie.. Un choix de cible bien plus stratégique qu’on pourrait le penser.

Ne pas jouer avec l’électricité


On en avait déjà entendu parler en 2011 et 2014, Dragonfly fait son comeback. L’organisation de hackers auraient réussi à prendre le contrôle de systèmes servant à l’approvisionnement en électricité et pétrole dans plusieurs pays grâce à une campagne de spams. À croire que les adblocks, c’est pour les canaris. Pas besoin d’avoir regardé l’intégrale de Mr Robot pour saisir l’ampleur de la situation… .

Que des hackers s’infiltrent dans le système de contrôle des réseaux électriques n’est pas nouveau. Cela fait déjà plusieurs années que les Etats-Unis, la France, l’Italie, l’Espagne ou encore l’Allemagne sont dans leur ligne de mire. Contrairement aux industriels, les fournisseurs d’énergie et les gestionnaires de réseau n’ont pas (encore) la technologie nécessaire pour pallier ce genre d’attaque.

Pourquoi choisir les fournisseurs d’énergie et pas les banques, par exemple ? D’une part parce que c’est sans doute plus facile. D’autre part parce que si c’est l’argent qui fait marcher le monde, c’est l’électricité qui fait vivre Internet. Et ça, c’est du lourd. Ils ont tenu la planète en haleine en hackant HBO (on ne va pas se mentir, ça nous a sacrément arrangé) pendant UN seul épisode (mais quel épisode !) de GoT. Imaginez un peu la situation s’ils coupent le WiFI partout…

Le secteur énergétique : clé de voûte de la mondialisation ?

Au risque de me faire taxer de capitaliste, je pose la question : aujourd’hui, qui peut faire quoi sans électricité ? Sans Internet ? Ce n’est pas uniquement l’éclairage de nos maisons et notre compte Facebook qui sont concernés. Plus de transports, plus de télécommunications, plus d’avions, quant au carburant… Imaginez un pays soudainement privé d’électroménager, de chauffage, de lumière, de contact avec l’extérieur, de télévision, d’ordinateurs, de supermarchés, d’hôpitaux, d’écoles, etc. le tout sur fond de réchauffement climatique. Ça ne vous rappelle rien ?


Et encore, dans Mad Max (excellent film, soit dit en passant), ça finit bien (enfin “bien”…).

Google (encore une fois soyons honnête, Internet c’est Google) est  profondément ancré nos vies. À tel point qu’il semble presque inconcevable que nous puissions avoir à vivre sans.

S’il venait à disparaître (on a pu voir ce que ça a donné dans un épisode de South Park…), les experts consultés pour ce scénario (oui, il y en a) sont d’accords sur un point. Pour mettre à bas une société aussi puissante et fortifiée, pas besoin d’être un génie. Il suffirait de n’importe quel individu mal intentionné ou pas très très malin avec des privilèges administrateur.

Et si le monde état privé d’électricité ?

Concrètement, il se passera quoi ? On ne pourra plus parler de sa vie sur Facebook et poster son vomi post-cuite sur Instagram. Donc forcément, les gens qui ne nous voient jamais dans la vraie vie nous croiront morts. Les YouTubeurs seront tous au chômage, les fitness gourous d’Instagram feront leur démonstration dans la rue. Les partisans de la théorie du complot seront aux anges. Ils pourront vendre tout un tas de livres sur « Google : une mort annoncée. L’émergence du complot judéo-reptilien”. Et les gens qui veulent lancer une recherche sur «pourquoi Google est mort» vont se rendre compte qu’ils ne peuvent pas parce que Google est mort. Que du bonheur.

Cyberattaque des fournisseurs d’énergie : le scénario catastrophe

Curieusement, on en parle pas beaucoup au cinéma. Sans doute parce que ce n’est pas un ressort scénaristique très rentable. “EDF et la menace Lazarus”, “Enedis vs. Anonymous : le combat final”, pas sûre que ça fasse un carton au box office. Mais dans la vraie vie, l’idée a de quoi inquiéter. Des experts du groupe Lloyd’s (une banque britannique spécialisée dans les grands risques) ont imaginé un scénario catastrophe. 15 états américains privés d’électricité, dont les villes de New-York et de Washington. Soit environ 93 millions d’Américains qui ne pourront plus suivre The Jerry Springer Show à la télé. Le coût de blackout, causé par une cyberattaque, serait compris entre 243 milliards et 1.000 milliards de dollars, dont 71 milliards pour les seuls assureurs, selon un rapport du Lloyd’s.

Les téléphones, internet, la télévision, la radio et l’éclairage public seraient touchés. Mais aussi les secteurs industriel et commercial et la distribution d’eau, faute de pompes et de réseau en état de marche.

Un complot russe ?

L’ampleur et le haut niveau technologique de cette cyberattaque amène à penser, qu’à l’origine de ce mouvement, une organisation bien plus puissante qu’un simple groupe de hackers indépendants, pourrait diriger les opérations :

« Si les pirates (…), avaient utilisé des capacités de sabotage qui étaient à leur portée, ils auraient pu causer des dommages ou des perturbations dans l’alimentation en énergie dans ces pays (…)  Dragonfly a tous les aspects d’une opération financée par un Etat car il trahit des capacités techniques élevées ».

Or, d’après les horaires d’activité des auteurs de ce virus, il pourrait probablement s’agir d’un état situé en Europe de l’Est…

On imagine aisément les conséquences pour le reste du monde si Dragonfly et son arsenal de malware venait à prendre le contrôle de la fourniture d’énergie. Pour l’heure, EDF et GDF-Suez ont affirmé ne pas avoir eu vent de ces attaques (c’est rassurant). Mais si les dires de Symantec sont vrais, le rideau de fer est tombé, mais un volet roulant a peut-être pris sa place.

“God, I miss the Cold War,” comme aurait dit la fort regrettée M dans Casino Royal.

Commentaires

En savoir plus sur notre politique de contrôle, traitement et publication des avis : cliquez ici