Ce n'est pas une nouvelle que de nombreuses grandes institutions technologiques ont subi une cyberattaque après l'autre. Mais une cyberattaque contre les technologies opérationnelles des installations industrielles comme les pipelines et les centrales électriques ?
C'est audacieux et humiliant. Et ce n'est pas une blague quand ça frappe. De telles attaques, si elles réussissent, bloquent les opérations industrielles et affectent négativement les personnes qui dépendent de l'industrie victime. Pire, cela pourrait paralyser une nation économiquement.
Mais comment fonctionnent les cyberattaques contre les pipelines et autres installations industrielles? Creusons.
Pourquoi les cyberattaques se produisent dans les installations industrielles
Pour la plupart d'entre nous, cela n'a aucun sens comment et pourquoi quiconque aurait la chance de lancer une cyberattaque orchestrée numériquement contre une usine industrielle à commande mécanique.
Eh bien, en réalité, nous voyons maintenant l'intelligence artificielle, l'apprentissage automatique et davantage de technologies numériques prendre le relais des opérations mécaniques et même techniques dans les installations industrielles. En tant que tels, leurs données opérationnelles, leurs informations logistiques et bien plus sont désormais sur Internet et susceptibles d'être volées et attaquées.
Il existe de nombreuses raisons pour lesquelles les cyberattaques se multiplient sur les installations industrielles telles que les pipelines, les centrales électriques, les stations d'approvisionnement en eau, les industries alimentaires, etc.
Quel que soit le motif, il relèvera probablement de l'une des catégories suivantes.
1. Motifs politiques, économiques et commerciaux
D'un point de vue commercial, les attaquants piratent parfois un système industriel pour obtenir des informations sur les formulations chimiques, la marque, la taille du marché, les plans techniques et commerciaux, etc. Cela pourrait provenir d'une entreprise concurrente ou de celles qui ont l'intention de démarrer.
Cependant, la politique joue également un rôle. Les cyberattaques parrainées par l'État visent généralement à paralyser l'infrastructure économique d'un autre pays pour montrer la force et les capacités de leur pays. L'un des moyens d'y parvenir est de perturber les processus dans les industries qui stimulent l'économie d'un pays victime. Et il y a eu des rapports de quelques-uns d'entre eux ici et là.
2. Motifs financiers
C'est l'une des raisons les plus courantes des cyberattaques. Les attaquants peuvent pirater un système industriel pour plusieurs motifs financiers, allant de la récupération d'informations de carte de crédit au vol d'informations financières.
Ils y parviennent généralement via des logiciels malveillants ou des chevaux de Troie, de sorte qu'ils peuvent accéder au système sans être détectés. Une fois à l'intérieur, ils peuvent siphonner les données relatives aux processus techniques. Le pirate peut alors proposer les informations volées sur le marché noir à toute personne intéressée.
Une autre façon de gagner de l'argent est l'injection de ransomware, où les attaquants cryptent les données de la cible, puis vendent le mot de passe pour une somme considérable.
En rapport: Qu'est-ce qu'un ransomware et comment le supprimer ?
Il existe également des attaques par déni de service distribué (DDoS), où plusieurs ordinateurs infectés accèdent simultanément au site Web d'une cible, accablant ainsi leurs systèmes. Cela empêche les clients de contacter ladite société jusqu'à ce qu'ils arrêtent l'attaque.
Comment fonctionnent ces cyberattaques? Exemples notables
Maintenant que vous avez vu les principales raisons des cyberattaques contre les installations industrielles. Tirons un aperçu de son fonctionnement à partir de ces exemples notables.
1. Le pipeline colonial
Le Colonial Pipeline transporte environ 3 millions de barils de produits pétroliers par jour aux États-Unis. C'est le plus grand pipeline de carburant aux États-Unis. Bien sûr, on imagine la difficulté de pirater un système aussi complexe.
Mais l'impensable s'est produit. La nouvelle de son piratage a fait la une des journaux tout au long du mois de mai 2021, le président Joe Biden déclarant l'état d'urgence en raison d'une pénurie de carburéacteur et d'un achat de panique d'essence et de mazout. C'était après que le pipeline a arrêté toutes les opérations en raison de la cyberattaque.
Comment les pirates informatiques ont-ils paralysé les opérations de Colonial Pipeline? Par rançongiciel. Les spéculations étaient que les attaquants étaient dans le réseau du pipeline depuis des semaines sans se faire remarquer.
Après avoir accédé au réseau du pipeline à l'aide d'un mot de passe et d'un nom d'utilisateur divulgués par le personnel, trouvés sur le toile sombre, les attaquants ont injecté des logiciels malveillants dans le système informatique du pipeline, cryptant leur réseau de facturation et les tenant en otage. Ils sont ensuite allés plus loin pour voler environ 100 gigaoctets de données et ont demandé une rançon payée en Bitcoin en échange du décryptage.
Comment le nom d'utilisateur et le mot de passe ont-ils été divulgués sur le dark web? Personne n'en était sûr. Mais un coupable possible est le phishing, ciblant un personnel de Colonial Pipeline.
En rapport: Qui était derrière l'attaque du pipeline colonial ?
Bien que cette attaque n'ait pas affecté les systèmes mécaniques à commande numérique, l'effet du ransomware aurait pu être plus dévastateur si Colonial Pipeline risquait de nouvelles opérations malgré la cyberattaque.
2. Système d'approvisionnement en eau d'Oldsmar (Floride)
Dans le cas du système d'approvisionnement en eau d'Oldsmar, les pirates ont pris le contrôle virtuel de l'infrastructure de traitement chimique via TeamViewer, un logiciel de partage d'écran utilisé par l'équipe technique.
Une fois à l'intérieur, l'attaquant est entré directement dans le système de contrôle de traitement de l'établissement et a augmenté le niveau d'hydroxyde de sodium ajouté à l'eau à un niveau toxique, précisément de 100 à 11 100 parties par million (ppm).
Si le personnel de service n'avait pas remarqué cette augmentation ridicule du niveau de produits chimiques et l'avait ramené à la normale, les pirates avaient l'intention de commettre des meurtres de masse.
Comment ces attaquants ont-ils obtenu les informations d'identification TeamViewer pour accéder à distance à l'interface homme-machine ?
Ils ont dû exploiter deux vulnérabilités dans le système de contrôle d'Oldsmar. Tout d'abord, tout le personnel a utilisé le même identifiant et mot de passe TeamViewer pour accéder au système piraté. Deuxièmement, le logiciel du système était obsolète car il fonctionnait sous Windows 7, qui, selon Microsoft, est plus vulnérable aux attaques de logiciels malveillants en raison de l'interruption du support.
Les pirates ont dû soit forcer leur chemin, soit flairer le système obsolète à l'aide de logiciels malveillants.
3. Sous-stations électriques ukrainiennes
Environ 225 000 personnes ont été plongées dans l'obscurité après que le réseau électrique ukrainien a subi une cyberattaque en décembre 2015. Cette fois, les attaquants ont utilisé BlackEnergy, un logiciel malveillant de contrôle de système polyvalent, pour atteindre leur objectif.
Mais comment ont-ils trouvé un moyen d'injecter ce malware dans une si grande installation industrielle ?
Les pirates avaient auparavant lancé une campagne de phishing massive avant l'attaque. L'e-mail de phishing a incité les employés à cliquer sur un lien les incitant à installer un plugin malveillant déguisé en macros.
Ledit plugin a permis au bot BlackEnergy d'infecter le système de grille avec succès via un accès de porte dérobée. Les pirates ont ensuite obtenu des informations d'identification VPN qui permettent au personnel de contrôler le système de grille à distance.
Une fois à l'intérieur, les pirates ont pris le temps de surveiller les processus. Et une fois prêts, ils ont déconnecté le personnel de tous les systèmes, pris le contrôle du processeur de contrôle de supervision et d'acquisition de données (SCADA). Ils ont ensuite désactivé l'alimentation de secours, fermé 30 sous-stations électriques et utilisé attaques par déni de service pour éviter les rapports de panne.
4. L'attaque du Triton
Triton est un script malveillant qui cible principalement les systèmes de contrôle industriels. Sa puissance s'est fait sentir lorsqu'en 2017, un groupe de pirates l'a injecté dans ce que les experts croyaient être une centrale pétrochimique en Arabie saoudite.
Cette attaque a également suivi le modèle de phishing et de force brute probable des mots de passe pour obtenir un accès initial par porte dérobée aux systèmes de contrôle avant d'injecter le malware.
Suite à cela, les pirates ont obtenu un accès à distance au poste de travail du système instrumenté de sécurité (SIS) pour les empêcher de signaler correctement les défauts.
En rapport: Qu'est-ce qu'un piratage de la chaîne d'approvisionnement et comment pouvez-vous rester en sécurité ?
Cependant, il semblait que les attaquants apprenaient seulement le fonctionnement du système avant de lancer une véritable attaque. Pendant que les pirates se déplaçaient et peaufinaient le système de contrôle, l'ensemble de l'usine s'est arrêté, grâce à certains systèmes de sécurité qui ont activé une sécurité intégrée.
5. L'attaque Stuxnet
Stuxnet est un ver informatique principalement destiné aux contrôleurs logiques programmables (PLC) dans les installations nucléaires. Le ver, développé par l'équipe conjointe américaine et israélienne, se déplace via une clé USB avec une affinité pour le système d'exploitation Windows.
Stuxnet fonctionne en prenant en charge les systèmes de contrôle et en peaufinant les programmes existants pour endommager les automates. En 2010, il a été utilisé comme cyberarme contre une installation d'enrichissement d'uranium en Iran.
Après avoir infecté plus de 200 000 ordinateurs dans l'installation, le ver a reprogrammé les instructions de rotation de la centrifugeuse à uranium. Cela les a fait tourner brusquement et s'autodétruire dans le processus.
6. Usine de transformation de la viande JBS
Puisque le profit est imminent, les pirates n'exempteront pas les industries agroalimentaires de leurs expéditions. Des motifs financiers ont poussé des pirates informatiques à détourner des opérations à JBS, la plus grande usine de transformation de viande au monde, en juin 2021.
Par conséquent, l'entreprise a fermé toutes ses activités en Amérique du Nord et en Australie. Cela s'est produit quelques semaines après l'attaque du Colonial Pipeline.
Comment s'est déroulée l'attaque du site industriel de JBS ?
Comme dans le cas du Colonial Pipeline, les attaquants ont infecté le système de traitement de la viande JBS avec un ransomware. Ils ont ensuite menacé de supprimer les informations très médiatisées si l'entreprise ne payait pas une rançon en crypto-monnaie.
Les cyberattaques industrielles suivent un modèle
Bien que chacune de ces attaques ait un plan d'action, un modèle que nous pouvons déduire est que les pirates ont dû violer les protocoles d'authentification pour obtenir l'entrée initiale. Ils y parviennent par force brute, hameçonnage ou reniflage.
Ils installent ensuite n'importe quel malware ou virus dans le système industriel cible pour les aider à atteindre leurs objectifs.
Les cyberattaques sur les installations industrielles sont dévastatrices
Les cyberattaques se multiplient et deviennent terriblement lucratives sur Internet. Comme vous l'avez vu, cela affecte non seulement l'organisation ciblée, mais se propage également aux personnes bénéficiant de ses produits. Les opérations mécaniques elles-mêmes ne sont pas vulnérables aux cyberattaques en soi, mais les technologies numériques de contrôle qui les sous-tendent les rendent vulnérables.
Cela dit, l'influence des systèmes de contrôle numérique sur les processus techniques est précieuse. Les industries ne peuvent que renforcer leurs pare-feu et suivre des règles de sécurité, des contrôles et des équilibres stricts pour empêcher les cyberattaques.
La prévention des cyberattaques est cruciale, et être intelligent lors de l'utilisation d'applications Web vous aidera à vous protéger en ligne.
Lire la suite
- Sécurité
- La cyber-sécurité
Idowu est passionné par tout ce qui concerne les technologies intelligentes et la productivité. Pendant son temps libre, il s'amuse avec le codage et passe à l'échiquier quand il s'ennuie, mais il aime aussi de temps en temps rompre avec la routine. Sa passion pour montrer aux gens la voie à suivre avec la technologie moderne le motive à écrire davantage.
Abonnez-vous à notre newsletter
Rejoignez notre newsletter pour des conseils techniques, des critiques, des ebooks gratuits et des offres exclusives !
Cliquez ici pour vous abonner