[Exclusif] Le récit par Schneider Electric de Triton, l'attaque qui a fait trembler l'industrie

Fin 2017, la révélation de la cyberattaque Triton a mis le monde industriel en émoi. Pour la première fois, des pirates ont pris le contrôle du système de sécurité d’un site pétrochimique. En exclusivité pour Industrie & Technologie, Schneider Electric, fabricant de l'équipement piraté, raconte cette attaque d'un nouveau genre, dont les conséquences auraient pu être catastrophiques. Un article de notre dossier d'octobre consacré à la cybersécurité industrielle, exceptionnellement mis en accès libre.

Partager
[Exclusif] Le récit par Schneider Electric de Triton, l'attaque qui a fait trembler l'industrie
Petro Rabigh, une société saoudienne de raffinage et de pétrochimie,

Sur le moment, les opérateurs du site pétrochimique sont loin d’imaginer ce qu’il se passe réellement. Ce 3 juin 2017, la procédure de mise en sécurité de leur usine, située en Arabie saoudite, se déclenche sans crier gare. Température et pression baissent, le process s’arrête en urgence. L’ordre a été donné par le système instrumenté de sécurité (SIS) Triconex, l’un des produits phares de Schneider Electric. Afin d’analyser les causes de l’incident, l’équipement est inspecté. « Notre équipe support n’a rien constaté d’anormal pour ce type d’environnement, relate Andrew Kling, le directeur de l’architecture système et de la cybersécurité chez Schneider Electric. Un peu de chaleur et de corrosion, mais rien d’alarmant. »

Le système de contrôle-commande touché, une première historique

Le site redémarre. Mais le 4 août, coup de théâtre : une seconde mise en sécurité est activée. Le hasard n’est plus de mise et laisse place au doute. « Ces deux événements similaires étaient trop rapprochés, poursuit Andrew Kling. Nous avons envisagé l’hypothèse d’une cyberattaque. »

En septembre, l’entreprise de sécurité informatique FireEye est contactée pour mener l’enquête. Elle révélera, trois mois plus tard, l’existence de Triton, un mal­ware sans précédents extrêmement dangereux. « C’était une attaque planifiée, calculée et sophistiquée », commente Rob Caldwell, le responsable de l’activité systèmes de contrôle industriel. « Bien plus perfectionnée que tout ce que nous avions pu voir par le passé, renchérit Andrew Kling. Pour la première fois, le SIS et le système numérique de contrôle-commande (DCS) d’un site industriel ont été touchés. » L’affaire fait grand bruit, et pour cause, le SIS constitue le dernier rempart d’une usine. Celui qui empêche le process d’entrer en zone de danger, par accident ou malveillance.

« Toute preuve est perdue lorsque le système s’éteint »

Selon FireEye, les pirates préparaient leur attaque depuis 2014. Ils ont d’abord pénétré le réseau de l’entreprise (IT), dès juin 2016, voire plus tôt, avec des outils classiques, spécialement dédiés à l’opération (piratage de mot de passe, phishing…). Ils sont parvenus à accéder au VPN (virtual private network) – offrant une connexion à distance au réseau du site – malgré le système de double authentification via un SMS qui le protégeait. Pour récupérer ce SMS, ils ont changé le numéro de téléphone auquel il était envoyé. Connectés au site et munis du mot de passe d’un compte d’administrateur du réseau, ils ont traversé la zone démilitarisée – une sorte de sas entre le réseau IT et le réseau industriel (OT). Leurs droits d’administrateur étant encore valides de ce côté, ils ont eu tout loisir de sévir au plus près du process.

Exploration du réseau, reconnaissance des équipements, découverte des vulnérabilités… Les pirates ont pris leurs quartiers dans la station d’ingénierie du Triconex. C’est de cet ordinateur qui permet de programmer le contrôleur de sécurité qu’ils ont poursuivi leur attaque. Ils ont introduit un cheval de Troie pour infecter la mémoire de l’automate avec leur programme malveillant. Celui-ci a exploité une vulnérabilité « zero day » (inconnue) d’anciennes versions du logiciel du contrôleur Tricon, décrite par Andrew Kling comme un « bug d’élévation des privilèges », pour étendre les droits des pirates sur le système et leur donner le contrôle total de la machine. Cette intrusion dans la mémoire de l’appareil est une première, selon Andrea Carcano, le cofondateur de Nozomi Networks, qui a décortiqué Triton. « Cela rend l’attaque difficilement compréhensible par les victimes, car toute preuve est perdue lorsque le système s’éteint. »

La redondance du système a mis en échec les assaillants

De fait, personne n’a découvert les motivations des pirates. Leur entreprise a tourné court quand ils ont conduit le Tricon à passer en mode arrêt d’urgence. « Nous pensons que c’est la triple redondance du contrôleur qui les a mis en échec en réagissant comme prévu lorsqu’il a détecté l’anomalie », relève Andrew Kling. En cas de divergence dans les instructions reçues par les processeurs, le système met l’usine en sécurité. « Il semble que les attaquants n’étaient pas au courant de cette subtilité et aient provoqué par erreur l’arrêt d’urgence en testant une nouvelle attaque », poursuit-il. Schneider Electric et FireEye estiment même que le site pétrochimique n’était peut-être pas leur véritable cible. « Plusieurs indices suggèrent qu’ils ont utilisé l’usine comme un environnement de développement et de test en situation réelle de logiciels malveillants, souligne Rob Caldwell. Comme ils avaient également pénétré le DCS, ils auraient pu causer des problèmes importants. Au lieu de cela, ils ont passé des semaines dans la station d’ingénierie à développer leurs logiciels, à déployer de nouvelles versions de leur cheval de Troie… » Et Andrew Kling d’ajouter : « Leur malware était encore en développement, il contenait de nombreux bugs. »

La menace Triton plane toujours sur des milliers de sites industriels. Car la faille du logiciel du contrôleur Tricon, présente uniquement sur de vieilles versions de l’appareil et pour laquelle Schneider Electric a développé un correctif, n’est, selon Rob Caldwell, qu’un élément mineur de l’attaque. « Sans ce bug, avec un accès administrateur à la station d’ingénierie du Triconex, cela n’aurait demandé qu’un peu plus de temps et d’efforts pour pirater le système. L’attaque a tiré profit du manque de sécurité du réseau. Beaucoup d’erreurs ont été commises par la victime. » L’une des raisons pour lesquelles son identité n’a pas été dévoilée ?

« Un véritable électrochoc »

Gary Williams, directeur de l’offre cybersécurité de Schneider Electric

Quelle est la particularité de Triton ?

Nous n’avions jamais vu un malware aussi sophistiqué, qui s’en prenne à la fois au système de sécurité et au système numérique de contrôle-commande. Nous ne connaîtrons jamais les intentions des pirates, mais le danger potentiel de Triton a renforcé la conscience du cyber-risque. Cette attaque a été un véritable électrochoc pour l’industrie.

Qu’est-ce qui a changé dans l’industrie depuis ?

Nos clients, nos concurrents, les fournisseurs d’outils de cybersécurité… Toute l’industrie s’est réveillée. La sécurisation des réseaux IT et OT est devenue une priorité. Et il est clairement apparu qu’il fallait absolument surveiller les réseaux. Sur le site pétrochimique frappé par Triton, des indices évidents d’attaque – connexions non légitimes, fuites de données… – auraient pu être observés. On ne peut plus se contenter d’installer des sécurités. Cette prise de conscience s’est traduite, ces deux dernières années, par l’essor d’outils de surveillance comme les sondes de détection d’intrusion.

Vous avez cofondé GCA, la Global cybersecurity alliance, en juillet. Dans quel but ?

Cette alliance entre industriels, fournisseurs d’équipements et acteurs de la sécurité informatique vise à lutter contre la cybermenace. Il y aura toujours des attaques, qu’elles soient simples, comme les ransomwares, ou de plus en plus sophistiquées, et nous devons nous mettre au niveau des pirates informatiques. L’objectif de la GCA est de partager de l’information, d’apprendre les uns des autres. Nous espérons également travailler avec différents acteurs, par exemple des universités, sur des sujets concrets. L’avenir reste ouvert.

 

2014

Début présumé de la préparation de l’attaque Triton.

Juin 2016

Date des traces les plus anciennes indiquant une intrusion dans le système IT.

3 juin 2017

Première mise en sécurité imprévue de l’usine visée. L’événement est traité comme une anomalie potentiellement due à une défaillance du contrôleur.

4 août 2017

Seconde mise en sécurité imprévue de l’usine visée. Trop rapproché du précédent, l’événement fait naître la suspicion d’une cyberattaque.

Septembre 2017

FireEye est engagé pour enquêter sur la cyberattaque.

Décembre 2017

Les correctifs sont appliqués. Les pirates tentent une dernière intrusion qui échoue. L’attaque est rendue publique.

SUR LE MÊME SUJET

Sujets associés

NEWSLETTER L'hebdo de la techno

Nos journalistes sélectionnent pour vous les articles clés de l'innovation technologique

Votre demande d’inscription a bien été prise en compte.

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes...

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes du : Groupe Moniteur Nanterre B 403 080 823, IPD Nanterre 490 727 633, Groupe Industrie Service Info (GISI) Nanterre 442 233 417. Cette société ou toutes sociétés du Groupe Infopro Digital pourront l'utiliser afin de vous proposer pour leur compte ou celui de leurs clients, des produits et/ou services utiles à vos activités professionnelles. Pour exercer vos droits, vous y opposer ou pour en savoir plus : Charte des données personnelles.

LES ÉVÉNEMENTS L'USINE NOUVELLE

LES PODCASTS

Connecter start-up et grands groupes

Connecter start-up et grands groupes

Dans ce nouveau numéro du podcast Inspiration, Thomas Ollivier, fondateur du Maif Start-up Club, répond aux questions de Christophe Bys. 

Écouter cet épisode

Le théâtre engagé et populaire de Samuel Valensi

Le théâtre engagé et populaire de Samuel Valensi

Samuel Valensi est un jeune metteur en scène engagé. Passionné de théâtre, il a décidé de quitter les bancs d'HEC pour écrire et mettre en scène. Il est...

Écouter cet épisode

Le Mans, capitale du son

Le Mans, capitale du son

Dans ce nouvel épisode de La Fabrique, Olivier James nous emmène au Mans pour nous faire découvrir un écosystème surprenant : celui de l'acoustique. En quelques années, la...

Écouter cet épisode

Le design dans le monde d'après

Le design dans le monde d'après

L'ancien secrétaire d'Etat socialiste, Thierry Mandon, est président de la Cité du Design de Saint-Etienne. Dans ce nouvel épisode du podcast Inspiration, il présente la Biennale...

Écouter cet épisode

Tous les podcasts

LES SERVICES DE L'USINE NOUVELLE

Trouvez les entreprises industrielles qui recrutent des talents

ETABLISSEMENT FRANÇAIS DU SANG.

Technicien de Maintenance en Matériel / Equipement H/F

ETABLISSEMENT FRANÇAIS DU SANG. - 20/06/2022 - CDI - BORDEAUX

+ 550 offres d’emploi

Tout voir
Proposé par

Accédez à tous les appels d’offres et détectez vos opportunités d’affaires

60 - NOYON

Fourniture de colis de Noël pour les ainés - année 2022..

DATE DE REPONSE 01/01/1970

+ de 10.000 avis par jour

Tout voir
Proposé par

ARTICLES LES PLUS LUS