Dans un rapport publié mercredi, le spécialiste de la sécurité Symantec affirme qu’un groupe de pirates, connu sous le nom DragonFly, aurait lancé une campagne ‘DragonFly 2.0’ de piratage contre les entreprises du secteur de l’énergie, qui pourrait leur donner les moyens de perturber sévèrement les opérations affectées.

Le groupe semble vouloir se familiariser avec la façon dont fonctionnent les centrales, et gagner un accès aux systèmes de contrôle des opérations.

DragonFly aurait commencé au plus tard en décembre 2015 à s’infiltrer dans les réseaux des entreprises du secteur de l’énergie, et continuerait depuis.

Symantec aurait des indices forts d’attaques contre des entreprises aux États-Unis, en Turquie et en Suisse.

DragonFly utilise des vecteurs d’infections classiques, comme les chevaux de Troie, l’infection des sites web susceptibles d’intéresser les cibles, et au premier chef des campagnes de courriel.

Une campagne de courriels se faisant passer pour des invitations pour des fêtes du nouvel an fut lancée en décembre 2015. En 2016 et 2017, des campagnes additionnelles exploitèrent des courriels contenant des informations très spécifiques au secteur de l’énergie.

Une fois les documents en pièce jointe ouverts, un logiciel malveillant volait les informations de sécurité du destinataire, et tentait de les exfiltrer.

Si les informations de Symantec sont correctes, il y a de quoi s’inquiéter, puisque le contrôle de la production de quelques centrales électrique ou d’une partie du réseau de distribution permettrait aux pirates de déclencher des catastrophes matérielles, humaines et financières.

En décembre 2015, le piratage d’un centre de distribution d’électricité a privé plus de 225 000 personnes d’électricité en Ukraine pendant plus de six heures.

En juillet 2017, le FBI et le Department of Homeland Security ont distribué un rapport mettant en garde contre des cyberattaques visant les centrales nucléaires ainsi que les autres centrales d’énergie.

La centrale nucléaire Wolf Creek du Kansas avait confirmé avoir été attaquée, mais a soutenu que seul son réseau d’entreprise a été affecté, et non le système de contrôle, qui est totalement séparé.

De son côté, Symantec a intercepté des copies d’écran avec des noms de fichiers contenant la chaîne de caractères ‘cntrl’, une abréviation classique du mot ‘contrôle’.

Un argument qui ne convainc pas tout le monde de la cybersécurité.

Si le rapport de Symantec doit servir d’avertissement fort, les pirates sont loin, d’après Robert Lee, son CEO, de pouvoir éteindre la lumière, rapporte Reuters.

Et s’il suffit pour être protégé, comme l’affirme Symantec, d’utiliser ses produits, ou donc des produits équivalents, on peut espérer que toutes les entreprises d’infrastructures critiques en sont équipées.

Dans son rapport, Symantec rappelle également quelques meilleures pratiques, comme l’utilisation de longs mots de passe aléatoires pour les comptes ayant un haut niveau de privilège, ou le filtrage du trafic SMB (échanges de fichiers) sortant, etc. Là encore, on est en droit d’attendre que toute entreprise d’infrastructure critique connaisse et applique au moins ces règles de base.