La firme de cybersécurité FireEye s’est fendue d’un long billet alarmant : le virus Triton a frappé une nouvelle infrastructure industrielle sensible. Ce logiciel malveillant est particulièrement dangereux, puisqu’il s’attaque aux processus de sécurité sans lesquels des catastrophes matérielles et humaines auraient lieu.

Tapis dans l’ombre, Triton se prépare à l’attaque. Cet inquiétant malware a pour la première fois été repéré en août 2017, lorsque le complexe pétrochimique de la compagnie saoudienne Petro Rabigh a essuyé une cyberattaque sans conséquence. Pourtant, le bilan matériel et humain aurait pu être lourd. Il a ensuite fallu patienter jusqu’en mars 2019 pour connaître le nom de la cible, grâce à une enquête approfondie des journalistes d’E&E News.

Une méthode d’infiltration personnalisée

Un mois plus tard, Triton, également connu sous le nom de Trisis, revient sur le devant de la scène. La firme de cybersécurité FireEye a en effet publié un long billet dans lequel est dévoilée une seconde cyberattaque de ce type, menée à l’encontre d’une entreprise dont le nom est resté confidentiel. Le fait est que Triton reste un logiciel malveillant à la fois actif et en pleine évolution.

Si son objectif ultime reste inchangé, sa méthode d’infiltration évolue selon les cibles visées : le groupe de hackers derrière Triton développe des outils d’intrusion personnalisés et diversifiés, de manière à s’infiltrer progressivement dans le réseau. Dans le cas présenté par FireEye, les attaquants s’étaient introduits depuis un an dans les réseaux de l’usine. Mais dans quel but ?

Crédit photo : koshinuke_mcfly via Pixabay.

Les pirates informatiques utilisent ce malware pour déstabiliser et compromettre les processus de sécurité d’infrastructures industrielles sensibles – centrale électrique, raffinerie. Ces systèmes instrumentés de sécurité, ou Safety instrumented system (SIS), s’avèrent être des éléments centraux pour contrecarrer toute catastrophe industrielle majeure, comme une explosion.

L’exemple d’Arts Technica reflète parfaitement leur importance : lorsque la pression du carburant ou la température du réacteur atteint des seuils potentiellement dangereux, les systèmes SIS ferment automatiquement les vannes ou lancent un processus de refroidissement. Cette intervention d’urgence permet d’éviter tout incident grave susceptible de mettre en danger des vies humaines ou d’entraîner des conséquences environnementales dramatiques.

La Russie est-elle aux commandes de Triton ?

Voilà pourquoi Triton se veut tout particulièrement dangereux. Car ce virus prend le contrôle des systèmes SIS et empêche leur déclenchement en cas de situation urgente. Opérationnel depuis 2014, les cyberattaques menées avec Triton ont été attribuées à un institut soutenu par le Kremlin, selon les recherches de FireEye.

Force est de constater que les complexes industriels sensibles sont bel et bien la cible de hackers. Mais le caractère dangereux de ces attaques place la question de la cybersécurité au cœur des entreprises potentiellement visées. Il n’est ici plus question de rançon ou de vol de données : les enjeux colossaux en termes de dégâts matériels, humains et environnementaux font de Triton une menace dangereuse et redoutée.

Partager sur les réseaux sociaux