[Exclusif] Le récit par Schneider Electric de Triton, l'attaque qui a fait trembler l'industrie

Sur le moment, les opérateurs du site pétrochimique sont loin d’imaginer ce qu’il se passe réellement. Ce 3 juin 2017, la procédure de mise en sécurité de leur usine, située en Arabie saoudite, se déclenche sans crier gare. Température et pression baissent, le process s’arrête en urgence. L’ordre a été donné par le système instrumenté de sécurité (SIS) Triconex, l’un des produits phares de Schneider Electric. Afin d’analyser les causes de l’incident, l’équipement est inspecté. « Notre équipe support n’a rien constaté d’anormal pour ce type d’environnement, relate Andrew Kling, le directeur de l’architecture système et de la cybersécurité chez Schneider Electric. Un peu de chaleur et de corrosion, mais rien d’alarmant. »

Le système de contrôle-commande touché, une première historique

Le site redémarre. Mais le 4 août, coup de théâtre : une seconde mise en sécurité est activée. Le hasard n’est plus de mise et laisse place au doute. « Ces deux événements similaires étaient trop rapprochés, poursuit Andrew Kling. Nous avons envisagé l’hypothèse d’une cyberattaque. »

En septembre, l’entreprise de sécurité informatique FireEye est contactée pour mener l’enquête. Elle révélera, trois mois plus tard, l’existence de Triton, un mal­ware sans précédents extrêmement dangereux. « C’était une attaque planifiée, calculée et sophistiquée », commente Rob Caldwell, le responsable de l’activité systèmes de contrôle industriel. « Bien plus perfectionnée que tout ce que nous avions pu voir par le passé, renchérit Andrew Kling. Pour la première fois, le SIS et le système numérique de contrôle-commande (DCS) d’un site industriel ont été touchés. » L’affaire fait grand bruit, et pour cause, le SIS constitue le dernier rempart d’une usine. Celui qui empêche le process d’entrer en zone de danger, par accident ou malveillance.

« Toute preuve est perdue lorsque le système s’éteint »

Selon FireEye, les pirates préparaient leur attaque depuis 2014. Ils ont d’abord pénétré le réseau de l’entreprise (IT), dès juin 2016, voire plus tôt, avec des outils classiques, spécialement dédiés à l’opération (piratage de mot de passe, phishing…). Ils sont parvenus à accéder au VPN (virtual private network) – offrant une connexion à distance au réseau du site – malgré le système de double authentification via un SMS qui le protégeait. Pour récupérer ce SMS, ils ont changé le numéro de téléphone auquel il était envoyé. Connectés au site et munis du mot de passe d’un compte d’administrateur du réseau, ils ont traversé la zone démilitarisée – une sorte de sas entre le réseau IT et le réseau industriel (OT). Leurs droits d’administrateur étant encore valides de ce côté, ils ont eu tout loisir de sévir au plus près du process.

Exploration du réseau, reconnaissance des équipements, découverte des vulnérabilités… Les pirates ont pris leurs quartiers dans la station d’ingénierie du Triconex. C’est de cet ordinateur qui permet de programmer le contrôleur de sécurité qu’ils ont poursuivi leur attaque. Ils ont introduit un cheval de Troie pour infecter la mémoire de l’automate avec leur programme malveillant. Celui-ci a exploité une vulnérabilité « zero day » (inconnue) d’anciennes versions du logiciel du contrôleur Tricon, décrite par Andrew Kling comme un « bug d’élévation des privilèges », pour étendre les droits des pirates sur le système et leur donner le contrôle total de la machine. Cette intrusion dans la mémoire de l’appareil est une première, selon Andrea Carcano, le cofondateur de Nozomi Networks, qui a décortiqué Triton. « Cela rend l’attaque difficilement compréhensible par les victimes, car toute preuve est perdue lorsque le système s’éteint. »

La redondance du système a mis en échec les assaillants

De fait, personne n’a découvert les motivations des pirates. Leur entreprise a tourné court quand ils ont conduit le Tricon à passer en mode arrêt d’urgence. « Nous pensons que c’est la triple redondance du contrôleur qui les a mis en échec en réagissant comme prévu lorsqu’il a détecté l’anomalie », relève Andrew Kling. En cas de divergence dans les instructions reçues par les processeurs, le système met l’usine en sécurité. « Il semble que les attaquants n’étaient pas au courant de cette subtilité et aient provoqué par erreur l’arrêt d’urgence en testant une nouvelle attaque », poursuit-il. Schneider Electric et FireEye estiment même que le site pétrochimique n’était peut-être pas leur véritable cible. « Plusieurs indices suggèrent qu’ils ont utilisé l’usine comme un environnement de développement et de test en situation réelle de logiciels malveillants, souligne Rob Caldwell. Comme ils avaient également pénétré le DCS, ils auraient pu causer des problèmes importants. Au lieu de cela, ils ont passé des semaines dans la station d’ingénierie à développer leurs logiciels, à déployer de nouvelles versions de leur cheval de Troie… » Et Andrew Kling d’ajouter : « Leur malware était encore en développement, il contenait de nombreux bugs. »

La menace Triton plane toujours sur des milliers de sites industriels. Car la faille du logiciel du contrôleur Tricon, présente uniquement sur de vieilles versions de l’appareil et pour laquelle Schneider Electric a développé un correctif, n’est, selon Rob Caldwell, qu’un élément mineur de l’attaque. « Sans ce bug, avec un accès administrateur à la station d’ingénierie du Triconex, cela n’aurait demandé qu’un peu plus de temps et d’efforts pour pirater le système. L’attaque a tiré profit du manque de sécurité du réseau. Beaucoup d’erreurs ont été commises par la victime. » L’une des raisons pour lesquelles son identité n’a pas été dévoilée ?

« Un véritable électrochoc »

Gary Williams, directeur de l’offre cybersécurité de Schneider Electric

Quelle est la particularité de Triton ?

Nous n’avions jamais vu un malware aussi sophistiqué, qui s’en prenne à la fois au système de sécurité et au système numérique de contrôle-commande. Nous ne connaîtrons jamais les intentions des pirates, mais le danger potentiel de Triton a renforcé la conscience du cyber-risque. Cette attaque a été un véritable électrochoc pour l’industrie.

Qu’est-ce qui a changé dans l’industrie depuis ?

Nos clients, nos concurrents, les fournisseurs d’outils de cybersécurité… Toute l’industrie s’est réveillée. La sécurisation des réseaux IT et OT est devenue une priorité. Et il est clairement apparu qu’il fallait absolument surveiller les réseaux. Sur le site pétrochimique frappé par Triton, des indices évidents d’attaque – connexions non légitimes, fuites de données… – auraient pu être observés. On ne peut plus se contenter d’installer des sécurités. Cette prise de conscience s’est traduite, ces deux dernières années, par l’essor d’outils de surveillance comme les sondes de détection d’intrusion.

Vous avez cofondé GCA, la Global cybersecurity alliance, en juillet. Dans quel but ?

Cette alliance entre industriels, fournisseurs d’équipements et acteurs de la sécurité informatique vise à lutter contre la cybermenace. Il y aura toujours des attaques, qu’elles soient simples, comme les ransomwares, ou de plus en plus sophistiquées, et nous devons nous mettre au niveau des pirates informatiques. L’objectif de la GCA est de partager de l’information, d’apprendre les uns des autres. Nous espérons également travailler avec différents acteurs, par exemple des universités, sur des sujets concrets. L’avenir reste ouvert.

 

2014

Début présumé de la préparation de l’attaque Triton.

Juin 2016

Date des traces les plus anciennes indiquant une intrusion dans le système IT.

3 juin 2017

Première mise en sécurité imprévue de l’usine visée. L’événement est traité comme une anomalie potentiellement due à une défaillance du contrôleur.

4 août 2017

Seconde mise en sécurité imprévue de l’usine visée. Trop rapproché du précédent, l’événement fait naître la suspicion d’une cyberattaque.

Septembre 2017

FireEye est engagé pour enquêter sur la cyberattaque.

Décembre 2017

Les correctifs sont appliqués. Les pirates tentent une dernière intrusion qui échoue. L’attaque est rendue publique.

Sélectionné pour vous

Un patient paraplégique retrouve l’usage de ses jambes grâce à un pontage numérique cerveau-moelle épinière et à une IA

[Reportage] Comment le CEA-List développe les contrôles non destructifs de demain

« Notre benchmark des ordinateurs quantiques sera orienté applications et fera sens pour l’utilisateur final », assure Frédéric Barbaresco de Thales