Un groupe de pirates appelé Predatory Sparrow a revendiqué une cyberattaque en Iran. Cette opération a provoqué un grave incendie dans les installations d'une aciérie.
Thierry Berthier est Maître de Conférences en mathématiques à l'Université de Limoges et enseigne dans un département informatique. Il est chercheur au sein de la Chaire de cybersécurité & cyberdéfense Saint-Cyr – Thales -Sogeti et est membre de l'Institut Fredrik Bull.
Atlantico : Le groupe de hackers Predatory Sparrow revendique avoir été à l’origine d’un incendie causé par une de leurs cyberattaques dans une usine en Iran. A quel point une cyberattaque causant des dégâts matériels comme celle-ci est-elle rare voire inédite ?
Thierry Berthier : Cette catégorie de cyberattaques reste rare mais certainement pas inédite. Elle rappelle en de nombreux points la cyberattaque Stuxnet menée en 2010 contre des installations iraniennes d’enrichissement d’Uranium. Le logiciel malveillant Stuxnet avait été spécifiquement développé pour détruire les centrifugeuses de l’usine iranienne de Natanz, en accélérant progressivement les vitesses de rotations des centrifugeuses au-delà de leur vitesse maximale tout en trompant les capteurs de vitesses. Cet exploit « cyber-physique » fait figure de référence en termes d’ingéniosité, de furtivité, et d’efficacité dans cette catégorie d’attaques. Depuis 2010, d’autres attaques ont été menées contre des infrastructures industrielles avec plus ou moins de succès. Il faut également tenir compte de toutes les attaques qui n’ont pas fait l’objet de publication ou qui n’ont pas été détectées par la cible pourtant impactée physiquement. Concernant l’attaque revendiquée par le groupe Predatory Sparrow, on ne dispose que de très peu d’information sur l’évènement, les faits et leurs conséquences. La cyberattaque a provoqué un incendie sur l’une des lignes de production d’une aciérie iranienne sans faire de victime ou de blessé au sein du personnel. Le groupe Predatory Sparrow avait déjà revendiqué en octobre 2021 une cyberattaque contre les systèmes de paiement des stations-service iraniennes et contre les panneaux d’affichage autoroutiers. Lors de chacune de ces opérations, le groupe a toujours pris soin de minimiser les risques et dommages corporels pour les usagers et les personnels iraniens concernés. En l’absence d’information sur les outils utilisés lors de l’attaque et sur les éventuelles traces laissées par l’attaquant, il est impossible d’attribuer l’opération à un éventuel état commanditaire. On ne peut faire que des hypothèses étayées par un contexte de crises géopolitiques aigues, propices à ce type de cyberattaques. L’Iran poursuit le développement de son programme nucléaire, soutient financièrement et militairement des régimes et des organisations engagés dans plusieurs conflits. Elle vient de livrer de grandes quantités de drones d’attaques à la Russie tout en menaçant régulièrement certains de ses voisins. Les conditions sont donc réunies avec un large éventail d’ennemis potentiellement capables de mener ce type de cyberattaques sur des infrastructures industrielles iraniennes.
Faut-il considérer ce qu’il vient de se passer comme un tournant dans le domaine des cyberattaques ?
Non, car le tournant s’est opéré dès 2010 avec l’attaque Stuxnet. Celle-ci a demandé une longue période d’analyse et de préparation, beaucoup de moyens humains dans sa mise en œuvre. Cela dit, le contexte industriel douze ans plus tard n’est plus le même. La transition numérique a transformé les infrastructures industrielles avec une hyper-connexion de toutes les unités de production, avec des machines en réseau et de la robotique déployée partout. Les surfaces d’attaque ont donc considérablement augmenté en se diversifiant. Les cibles industrielles comme les aciéries, les raffineries, les usines pétrochimiques, les centrales nucléaires, les stations de production d’eau potable constituent des objectifs de première importance pour les groupes cybercriminels et pour les unités cyber-offensives étatiques. Si les opérateurs d’importance vitale (OIV) sont ciblés en permanence, ils disposent aussi d’un très bon niveau de protection cyber avec des boucliers dynamiques SOC SIEM intégrant de l’intelligence artificielle. Certains groupes de hackers se sont fortement professionnalisés en se spécialisant sur des catégories de cibles. D’une manière générale le niveau de complexité des attaques et des boucliers a considérablement augmenté depuis deux décennies. Les attaques cyber-physiques se sont complexifiées avec l’apparition de cloud industriels hébergeant les données de production et leurs traitements.
Si ces conséquences matérielles devenaient plus fréquentes et potentiellement plus importantes, quelles en seraient les conséquences ? Qu’est ce qui changerait ? Risque-t-on une escalade ?
Tout dépend de qui attaque qui et quoi… Si un pays A conduit une cyberattaque contre un pays B et provoque d’importants dégâts, avec des blessés et des morts, alors le pays ciblé B devra riposter par une contre-attaque sur le champ cyber (Hack-Back) et / ou sur le champ cinétique (espace physique). Les Etats-Unis, la Chine et la Russie ont clairement inscrit dans leurs doctrines respectives qu’ils pourraient répondre à une vague de cyberattaques par une contre-attaque physique via des bombardements, lancement de missiles, destruction de cibles physiques ennemies. Le risque d’escalade serait alors effectivement très important… Sur un plan strictement juridique, les auteurs d’une cyberattaque ciblant des infrastructures industrielles et provoquant une catastrophe environnementale majeure avec des morts et des blessés, seraient recherchés puis arrêtés un jour ou l’autre sans période de prescription.
Certains se demandent si cette attaque pourrait avoir été diligentée par un Etat. En quoi cela changerait-il la donne dans cette configuration précise ?
En l’absence d’information supplémentaire, il est très difficile de se prononcer. Un Etat peut tout à fait sous-traiter ce type d’attaque à un groupe de hackers mercenaires. Il faut que ce groupe soit en mesure de mener l’attaque contre la cible et que l’Etat soit en mesure de le rémunérer en cas de succès. C’est tout à fait envisageable. Concernant l’attaque menée contre l’aciérie iranienne, on peut imaginer un grand nombre d’attaquants étrangers potentiels (USA, Israël, Ukraine, Arabie Saoudite, pays membres de l’OTAN, groupes sunnites en lutte contre des groupes chiites). Il faut compléter cette liste par les potentiels attaquants intérieurs : groupes de hackers iraniens dissidents ou opposants au régime, groupes de cyber mercenaires n’ayant pas été rémunérés sur une précédente attaque commanditée, groupes concurrents souhaitant prouver leurs capacités offensives, et même un groupe étatique iranien qui souhaiterait « donner une leçon de cybersécurité » à un industriel iranien jugé trop laxiste sur sa politique de cybersécurité de son infrastructure. Tous les scénarii sont possibles à ce jour, avec si peu d’information disponible…
En raison de débordements, nous avons fait le choix de suspendre les commentaires des articles d'Atlantico.fr.
Mais n'hésitez pas à partager cet article avec vos proches par mail, messagerie, SMS ou sur les réseaux sociaux afin de continuer le débat !