Avec le développement des réseaux intelligents et l’introduction des parcs à énergie renouvelable, l’industrie de l’énergie découvre à son tour les vulnérabilités informatiques.

Pour l’industrie de l’énergie, il y a un avant et un après Stuxnet. Avant 2010 et le spectaculaire sabotage électronique des installations d’enrichissement d’uranium de Natanz, en Iran, l’avenir du secteur s’annonçait à peu près radieux : la décennie à venir, annonçait-on, amenait avec elle la « smart grid », le réseau électrique du futur.

Image d'erreur

La centrale nucléaire de Kashiwazaki-Kariwa, au Japon, en 2007. // Source : IAEA Imagebank via Flickr (CC. 2.0)

Puis Natanz est tombée, et un cauchemar inédit est apparu : celui d’un black-out généralisé, provoqué par un groupe de hackers entré par effraction sur un réseau électrique fait de millions de composants interconnectés et vulnérables. Douche froide pour l’industrie, obligée de prendre un cours accéléré de cybersécurité. En Europe, le black-out redouté s’est déjà produit. C’était en Ukraine, en 2015 et 2016 (sur ce sujet, nous vous conseillons la lecture de nos deux dossiers écrits en 2017 : « Ukraine, anatomie d’une cyberguerre » épisode 1 et épisode 2). À un an d’intervalle, deux virus, Black Energy et Industroyer, paralysaient les centrales du fournisseur Ukrenergo et plongeaient 230 000 résidents dans le noir pendant une à six heures.

2017, année des intrusions

Depuis, la menace s’est intensifiée. En mars dernier, le Département de la Sécurité intérieure américain révélait que la Russie pénétrait régulièrement son réseau d’énergie depuis 2017. Au point d’avoir « le doigt sur l’interrupteur » de plusieurs centrales , s’inquiétait le New York Times (sans en préciser le nombre). Le responsable présumé: un groupe APT (pour Advanced Persistent Threat, acronyme américain de « menace persistante avancée », qui décrit ces groupes de pirates dormants) baptisé Dragonfly, le croquemitaine de la cybersécurité de l’énergie, affilié à Moscou par bon nombre d’experts.

En mars 2018, le Département de la Sécurité intérieure américain révélait que la Russie pénétrait régulièrement son réseau d’énergie depuis 2017

Malgré les menaces de représailles et les 96 millions de dollars investis depuis par le gouvernement Trump dans la cyberdéfense, les attaques continuent en 2018, aux États-Unis et en Europe occidentale (la Turquie, la Suisse et le Royaume-Uni ont été visés à leur tour). Pour le moment, ces groupes ne cherchent pas à nuire, simplement à apprendre et à s’installer profondément dans les réseaux. La France y est également confrontée. En octobre, lors d’une audition au Sénat, le directeur de l’Anssi Guillaume Poupard reconnaissait des « tentatives d’intrusion de systèmes de cartographie liés au secteur de l’énergie, qui n’avait qu’un but : la préparation d’actions violentes futures. »

Un black-out, c’est quoi ?

Les attaques contre le réseau électrique, en Europe comme aux États-Unis, sont encore très rares. Selon un rapport de Gabrielle Desarnaud, consultante chez Capgemini, publié par l’Institut français des relations internationales (Ifri) en 2017, on en dénombre une vingtaine dans le monde depuis 1982. Néanmoins, les tentatives de pénétration sont de plus en plus nombreuses chaque année : en 2016, le Bilan sûreté annuel de RTE (le gestionnaire du réseau français d’électricité, qui n’a pas donné suite à nos demandes) dénombrait 4300 attaques par mois (sans en préciser la nature), rapportait Le Monde. L’année suivante, le chiffre grimpait à 5800. Heureusement, ces tentatives de pénétration du réseau n’aboutissent pour le moment jamais, car le scénario d’un black-out serait cauchemardesque.

Image d'erreur

des lignes électriques de haute-tension // Source : Crédit : PurpleLorikeet, via Flickr (CC 2.0)

En 2011, un rapport de l’Office of Technolgy Assessment allemand démontrait qu’en cas de panne de longue durée, une fois les réserves de diesel écoulées, les télécommunications seraient réduites aux services essentiels (armée, hôpitaux, police, administration), les services publics s’effondreraient, le traitement d’eau serait paralysé, la chaîne du froid rompue, etc. En quelques jours, explique le rapport, l’eau et la nourriture viendraient à manquer, et le retour à la normale pourrait prendre plusieurs mois. Une fois le pays reparti, l’addition pourrait être astronomique. En 2015, l’assureur britannique Lloyd’s estimait le coût d’une panne électrique de 15 États américains (soit 93 millions de personnes) à 243 milliards de dollars, voire 1000 milliards dans le cas extrême.

Des virus sur-mesure aux virus mutants

Les attaques les plus célèbres varient énormément en complexité. Certaines (Stuxnet, Black Energy) portent le sceau d’acteurs étatiques et supposent de considérables moyens humains et financiers ; d’autres, comme le ver Slammer qui infectait en 2003 une centrale nucléaire de l’Ohio pendant cinq heures, sont beaucoup plus modestes. Les attaques visent, au choix, la confidentialité des centrales (récolter des données sensibles sur l’architecture du réseau pour les revendre), la disponibilité de l’énergie (interrompre ponctuellement le fonctionnement d’une centrale, comme cela a été le cas en Ukraine) ou l’intégrité des infrastructures.

Image d'erreur

Stuxnet ne visait pas directement les centrifugeuses, mais plutôt les Automates programmables industriels de Siemens (ou PLC, ici en photo) qui contrôlaient électriquement les centrifugeuses. // Source : Wikipedia

Ce dernier scénario est à la fois le plus préoccupant et le plus spectaculaire. On sait depuis 2007 qu’un virus informatique peut forcer un générateur à s’autodétruire, et les stratégies n’ont cessé de se perfectionner depuis dix ans. Stuxnet, révélait le chercheur de Symantec Eric Chien en 2010, a ciblé précisément le convertisseur de fréquence qui contrôlait la vitesse des moteurs des centrifugeuses de la centrale de Natanz pour les ralentir et les accélérer successivement jusqu’à destruction. Le virus était donc conçu sur mesure pour l’usine visée.

Aujourd’hui, la menace a muté, et certains programmes malveillants, comme Industroyer, sont reconfigurables en fonction des cibles, avertissent les experts. En 2017, un nouveau type de virus, appelé Triton, était identifié dans l’usine pétrochimique de Tasnee, en Arabie Saoudite. Son objectif n’était ni de voler des données, ni de paralyser la production, mais de faire exploser le complexe. Comment ? En mettant hors d’usage une pièce appelée contrôleur Triconex, chargé de réguler le voltage, la pression et la température des instruments pour qu’ils opèrent normalement.

https://www.youtube.com/watch?v=W3BgLxGiiyI

Les appareils de la marque Triconex sont des systèmes de sécurité actifs qui permettent de sécuriser et protéger des dispositifs électriques industriels.

Ces contrôleurs, fabriqués par le français Schneider, équipent 18 000 centrales, usines chimiques et raffineries dans le monde. Sans correctif de sécurité, tous ces sites sont potentiellement exposés au même type de sabotage. Au regard des lois nationales, ce genre d’attaque sur des infrastructures critiques constitue souvent un acte de guerre, auquel le pays visé peut répondre militairement. À condition d’identifier formellement les coupables, ce qui est toujours très compliqué avec les attaques informatiques – le fameux problème de l’attribution.

Où sont les vulnérabilités du réseau ?

À mesure qu’il adopte les objets connectés, le réseau électrique se diversifie et multiplie les points d’accès pour les assaillants. Selon le rapport de Gabrielle Desarnaud, la première vulnérabilité se trouve sur le réseau de transport lui-même. En 2016, des chercheurs développaient un ver, PLC Blaster, capable de se reproduire et de se déplacer justement dans ce PLC (Power Line Carrier), qui diffuse à la fois du courant mais également des signaux pour que les automates connectés à cette ligne communiquent entre eux. Lorsque cette ligne est infectée, elle peut donc compromettre les automates présents dans les postes.

Viennent ensuite les SCADA (Supervisory Control and Data Acquisition), les systèmes automatisés qui surveillent et contrôlent les équipements d’un site de manière centralisée. Si les SCADA sont rendus inopérants, une centrale électrique devient aveugle. C’est cette approche qu’ont utilisé Stuxnet et BlackEnergy, chacun à leur manière, en exploitant une faille dans un SCADA de Siemens.

Les habituelles vulnérabilités humaines – phishing, « watering hole » (une technique utilisée par Dragonfly en 2017 pour pénétrer les réseaux d’énergie britannique, qui imite un site Web sur lequel les employés d’une usine sont susceptibles de se rendre)- sont comme toujours à prendre en compte. Stuxnet, par exemple, est entré dans le complexe ultra-sécurisé de Natanz via une clé USB transportée par des agents doubles iraniens du groupe Mujahedeen-e-Khalq (MEK), téléguidés par le Mossad.

Stuxnet est entré dans le complexe ultra-sécurisé de Natanz via une clé USB transportée par des agents doubles iraniens téléguidés par le Mossad.

Enfin, le cas des compteurs communicants est plus partagé. Si le déploiement de l’appareil se passe globalement bien en Europe, deux chercheurs espagnols ont déjà piraté un appareil de leur pays en 2014. En France, les 35 millions de compteurs Linky prévus d’ici 2021 restent pour le moment inviolés. « On a conçu des chaînes communicantes qui sont extrêmement sécurisées », assure Jean-Claude Laroche, Directeur des systèmes d’information (DSI) chez Enedis (ex-ERDF). « On est au plus haut niveau des exigences en matière de comptage communicant. » De fait, l’Anssi a très fortement encadré le fonctionnement du boîtier, au point que chaque compteur soit « évalué par des centres d’évaluation de la sécurité des technologies de l’information (CESTI) agréés par l’agence », précisait Guillaume Poupard en mars. Suffisant… Pour le moment.

Image d'erreur

Le fameux compteur électrique communiquant Linky.

Les énergies renouvelables, plus modernes… et plus exposées

Du côté des parcs à énergie renouvelable, la situation est plus préoccupante. Contrairement à leurs aînés du fossile, ces réseaux ont été conçus avec la connectivité en tête, ce qui les rend plus vulnérables aux attaques de sabotage. À en croire les démonstrations effectuées ces deux dernières années, les panneaux solaires et les éoliennes seraient même particulièrement simples à pirater – un Raspberry Pi, une antenne Wifi, et c’est fait. La part du renouvelable dans la production d’énergie nationale a beau être minime (16 % en 2016 en France, selon les chiffres du ministère), un piratage ne serait pas sans conséquence.

Image d'erreur

Une éolienne, prise à proximité d’Oxford en Angleterre. // Source : Crédit : jonbgem via Flickr (CC 2.0)

En 2017, le chercheur hollandais Willem Waterhof découvrait 21 vulnérabilités dans les onduleurs solaires connectés à Internet de l’allemand SMA, qui transforment le courant continu des panneaux en courant alternatif fourni au réseau. Dans son scénario publié en 2017, appelé Horus, des pirates pourraient hacker ces onduleurs en très grand nombre pour contrôler un flux de plusieurs gigawatts d’électricité (actuellement, le solaire européen peut produire 100 gigawatts par an) voire le stopper, ce qui provoquerait l’arrêt de certains générateurs et causerait d’immenses coupures. Un scénario loin d’être improbable : deux ans plus tôt, les régulateurs américains découvraient qu’une éolienne pour particuliers, la XZERES 442SR, était reliée à Internet via une interface entièrement ouverte...

La France, un pays « avancé » niveau cybersécurité

Malgré tous ces risques, la France s’en sort plutôt bien. De fait, explique Frédéric Cuppens, professeur à l’IMT Atlantique et porteur de la chaire cyber CNI le pays « n’a pas connu d’incident majeur », et « l’exemple ukrainien incite les industriels français à se mettre à niveau. » La France « est un pays avancé en la matière », affirme de son côté Arnault Barichella, auteur d’un rapport de l’Ifri sur la question. Depuis la loi de Programmation militaire de 2013, l’industrie de l’énergie fait (probablement) partie des 259 organismes d’importance vitale (OIV) – la liste est classée « confidentiel défense »- soumis à des règles de cybersécurité strictes, enrichies et précisées par un décret en 2015.

En 2016, la France est devenue le premier pays européen à émettre des arrêtés sectoriels, qui définissent encore plus précisément les règles de cybersécurité spécifiques à chaque industrie. L’Anssi veille au grain, et une entreprise jugée non conforme encourt entre 150 000 et 750 000 euros d’amende. RTE, de son côté, annonce dans son Bilan sûreté 2017 avoir investi 144 millions d’euros dans les systèmes d’information en 2016 et conduit un audit des systèmes jugé satisfaisant.

Si les centrales sont aussi sûres, c’est parce que la majorité d’entre elles sont encore imperméables au numérique.

Au-delà du cadre législatif ambitieux, les réseaux d’énergie français possèdent des réflexes de sécurité hérités de l’ère analogique. « On repose sur des systèmes éprouvés depuis un certain nombre d’années », rassure Jean-Claude Laroche, comme le cloisonnement des réseaux, la redondance des systèmes et sa résilience. Le plan est déjà prêt. En cas de scénario noir, détaille le DSI, « les réseaux de distribution d’énergie doivent être préparés à fonctionner sans système informatique (SI), en mode dégradé, pendant quelques semaines. Par exemple, avoir des listes de diffusion préétablies sur WhatsApp pour les managers, ça peut vous sortir d’une situation difficile, tout comme des souches de votre SI sur des serveurs déconnectés de tout. »

Image d'erreur

La salle de contrôle de la centrale nucléaire de Madras (Inde), en 2013. L’informatique n’est que très peu présente. // Source : Crédit : IAEA Imagebank, via Flickr (CC 2.0)

Ce cahier des charges est encore plus valable pour le nucléaire : si les centrales sont aussi sûres, c’est parce que la majorité d’entre elles sont encore imperméables au numérique, mais plus pour longtemps. Dans le cadre du programme « Grand Carénage », de 2014 à 2025, EDF a entamé la création de « jumeaux numériques » de chaque réacteur. Chaque clone, qui coûte environ un million d’euros, permettra de simuler des défaillances et d’entraîner le personnel. Une manière d’appréhender tranquillement la numérisation du secteur nucléaire sans le mettre en danger.

Vers une stratégie de défense européenne harmonisée

Globalement, le secteur est donc mûr pour la cyberdéfense. Reste encore à s’améliorer sur deux aspects : le temps et l’espace. « La rapidité de l’évolution de la menace face à des entreprises qui ont des systèmes informatiques de très grande taille, c’est la grande question. On a engagé une espèce de course et de fait par rapport aux attaquants, il y a toujours un effet retard », admet Jean-Claude Laroche.

Pour réduire l’écart entre le temps industriel et le temps de l’informatique, deux solutions : former le personnel existant et engager des spécialistes des menaces cyber, capables de développer des simulations et des systèmes de défense basés sur le machine learning. « Notre sujet numéro 1 dans le cyber, c’est la question RH », confirme Jean-Claude Laroche. « On manque de compétences dans ces domaines cyber. L’offre en matière de compétences est très en deçà des besoins. »

Image d'erreur

Une salle de contrôle d’un réacteur à haute température expérimental refroidit au gaz, à l’université Tshinghua (Pékin), en juin 2004. // Source : Crédit : IAEA Imagebank, via Flickr (CC 2.0)

D’autre part, la France ne pourra rien faire seule. La force de résilience des réseaux européens, qui réside dans leur interdépendance, pourrait également devenir une faiblesse. « Une attaque contre un système même bien ciblée peut se propager au-delà d’un pays donné, les frontières ne permettront pas de contrôler quoi que ce soit.On n’a pas fait d’expérimentation concrète pour voir comment ça pourrait se propager», admet Frédéric Cuppens.

La législation européenne a commencé à se mettre à jour avec le « paquet d’hiver » de novembre 2016 et la directive SRI, qui pose les bases pour le développement de normes européennes de cybersécurité à destination des « opérateurs de services essentiels » en leur imposant des critères communs. Un autre paquet de 2017 propose lui un système de certification européen, régi par une entité régulatrice centrale (l’ENISA) qui se voit dotée d’un mandat permanent. Une harmonisation indispensable pour s’éviter une catastrophe d’ampleur continentale, alors que « lors des cyberattaques en Ukraine, des entreprises européennes ont été impactées , notamment à travers leurs filiales et leurs sous-traitants», rappelle Arnault Barichella. Puisque personne ne semble savoir comment se comporterait le réseau européen en cas d’attaque massive, autant ne jamais avoir à le découvrir.


Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !