Numériser l’obscurité : les cyberattaques contre des réseaux électriques menacent la modernité elle-même

Tandis que les conflits mondiaux migrent vers le domaine numérique, les cybercriminels d’état ciblent de plus en plus les réseaux énergétiques pour provoquer des pannes paralysant les régions touchées.

Le monde moderne a été rendu possible par l’énergie électrique. Toutefois, le temps où l’on tenait notre plus grande découverte pour acquise pourrait toucher à sa fin. Tandis que les conflits mondiaux migrent vers le domaine numérique, les cybercriminels d’état ciblent de plus en plus les réseaux énergétiques pour provoquer des pannes paralysant les régions touchées. Plus le monde électronique évolue, plus ces cyberattaques sont capables de renvoyer la société dans les ténèbres du Moyen Âge.

Extinction des feux 

Le 23 décembre 2015, à la centrale électrique de Prykarpattyaoblenergo, en Ukraine occidentale, un employé remarque que le curseur de son ordinateur se déplace doucement de son propre chef sur l’écran. 

À l’insu de tous, sauf d’un petit groupe de criminels d’élite, cet employé est en fait en train d’assister à l’avènement d’une nouvelle ère de la guerre cybernétique. Au cours des quelques minutes qui suivent, le curseur ouvre systématiquement un disjoncteur après l’autre, privant d’électricité plus de 230 000 Ukrainiens. L’employé ne peut que regarder, impuissant, tandis que le curseur le déconnecte ensuite du panneau deconfiguration, change son mot de passe, et arrête le générateur auxiliaire de la centrale. 

En tant que première panne documentée due à une cyberattaque, cet incident a conduit la communauté internationale du renseignement envisager l’implication de certains acteurs d’un État-nation étant donné la sophistication de la tactique en question. En effet, les coupures d’électricité qui plongent des villes entières (voire même des pays entiers) dans l’obscurité représentent une stratégie dévastatrice sur l’échiquier géopolitique. Contrairement aux actes de guerre directs, il est difficile d’identifier l’origine des offensives en ligne, ce qui protège leurs responsables du tollé international qui accompagne une agression militaire. Les économies concurrentes rivalisant pour inventer la prochaine application révolutionnaire de l’électricité, il est logique que certains adversaires essaient de remporter cette course en éteignant littéralement les lumières des autres. 

Depuis le tournant décisif de l’attaque ukrainienne, l’éventualité d’une frappe similaire est l’une des principales préoccupations des gouvernements du monde entier. En mars 2018, des services publics, tant américains qu’européens, furent la cible d’une attaque à grande échelle qui aurait pu « arrêter des centrales électriques à volonté » si tel était le but souhaité, mais qui semblait plutôt être destinée à des fins de surveillance et d’intimidation. Bien que ces attaques puissent prendre naissance dans le cyberespace, toute escalade au-delà de simples coups de semonce aurait des conséquences dramatiques dans le monde réel. 

Compteurs intelligents, criminels plus intelligents 

Les réseaux de distribution d’électricité sont des environnements tentaculaires complexes, contrôlés par des systèmes numériques, et composés d’un large éventail de postes, relais, salles de commande et compteurs intelligents. Entre les anciens équipements fonctionnant avec des logiciels vieux de plusieurs décennies et les nouveaux appareils IIoT conçus sans aucun contrôle de sécurité élémentaire, ces réseaux sur mesure regorgent de vulnérabilités zero-day. En outre, les solutions de cyberdéfense conventionnelles étant conçues pour ne repérer que les menaces connues pesant sur l’informatique traditionnelle, elles ne détectent pas les nouvelles attaques visant spécifiquement ces machines. 

Parmi toutes ces machines, les compteurs intelligents (qui communiquent la consommation d’électricité au fournisseur) sont réputés pour être aisément piratables. Bien que la plupart des réseaux soient conçus de façon à déjouer cette éventualité, l’adoption rapide de ces compteurs intelligents offre une possible passerelle aux auteurs de menaces qui cherchent à accéder au système de commande d’un réseau électrique. En fait, désactiver des compteurs intelligents individuels pourrait suffire à saboter l’ensemble du réseau, sans même détourner le système de commande lui-même. Une simple variation de 1 % de la demande d’électricité pourrait déclencher l’arrêt d’un réseau afin d’éviter tout dommage, ce qui signifie qu’il n’y aurait pas besoin d’un grand nombre de compteurs compromis pour atteindre le point de rupture. 

Encore plus alarmant : une variation suffisamment soudaine et massive de la demande d’électricité pourrait créer une surtension capable de causer de graves dommages physiques et d’entraîner des coupures durables. Nick Hunn, expert en énergie intelligente, affirme que, dans ce cas, « la réparation du réseau et la restauration d’un approvisionnement universel fiable peuvent prendre des années. » 

Renforcer les capacités de la centrale 

Détecter une activité suspecte sur un réseau énergétique exige une compréhension nuancée et évolutive de la façon dont il fonctionne en temps normal. Seule cette compréhension de la normalité pour chaque environnement particulier (composé de millions de connexions en ligne perpétuellement fluctuantes) peut révéler les subtiles anomalies qui vont de pair avec toutes les cyberattaques, qu’elles soient ou non inédites. 

La première étape est la visibilité : savoir ce qui se passe en temps réel sur ces réseaux hautement décentralisés. Le moyen le plus efficace d’y parvenir consiste à surveiller le trafic réseau généré par les systèmes de commande, car les machines OT prennent elles-mêmes rarement en charge les agents des logiciels de sécurité. Heureusement, dans la plupart des architectures de réseau électrique, ces machines communiquent avec un serveur SCADA central, ce qui peut donc procurer une visibilité sur une grande partie du réseau. Cependant, le trafic en provenance du système de commande n’est pas suffisant pour avoir une vue d’ensemble, puisque des postes distants peuvent être directement compromis par un accès physique, ou servir de points de terminaison pour un écheveau de compteurs intelligents. Pour assurer une surveillance totale, il est possible de déployer des sondes dédiées sur des sites distants cruciaux. 

Lorsque vous en arrivez là (surveiller des systèmes sur mesure et souvent archaïques), vous avez résolument laissé derrière vous l’univers de l’informatique de base. Au lieu d’avoir affaire à des protocoles et des systèmes Windows standard, vous êtes désormais confrontés à une jungle de systèmes personnalisés et de protocoles propriétaires, un environnement que les solutions de sécurité prêtes à l’emploi ne sont pas conçues pour gérer. 

La seule manière de comprendre ces environnements est d’éviter de définir à l’avance à quoi ils ressemblent, en utilisant plutôt l’intelligence artificielle qui apprend par elle-même à faire la différence entre un comportement normal et anormal pour chaque réseau électrique lorsqu’elle est « en service ». Indépendants de tout fournisseur ou protocole, ces outils autodidactiques sont singulièrement capables de détecter les menaces dirigées aussi bien contre les machines obsolètes que contre les nouveaux appareils IIoT. Les centrales électriques et les réseaux énergétiques s’imposant rapidement comme le prochain théâtre de la guerre cybernétique, il est urgent de se convertir à la sécurité assurée par l’intelligence artificielle.