La nouvelle menace des cyberattaques non-conventionnelles

Parce qu’il est extrêmement digitalisé, le secteur de l’énergie constitue la troisième cible mondiale des cybercriminels. Des enquêtes ont montré que les fournisseurs d’électricité en Ukraine ont été visés par des hackers russes. En 2009, déjà, le bruit courait que des hackers américains et israéliens avaient employé des méthodes similaires pour exécuter une cyberattaque contre une centrale nucléaire iranienne.

Les autorités américaines étudient les outils qui permettent aux hackers d’avoir pleinement accès aux systèmes informatiques de fournisseurs d’énergie et d’autres infrastructures essentielles. Ces outils posent un problème considérable : ils peuvent être employés par des hackers inexpérimentés, qui bénéficient ainsi de l’expérience et des connaissances de hackers professionnels.

Par ailleurs, ces outils peuvent être employés à des fins de terrorisme, y compris par des États qui n’hésitent pas à faire usage de telles méthodes. Les sociétés de sécurité décrivent ce phénomène comme « une occasion de cyberattaque exceptionnellement rare et dangereuse ». Ce genre d’outils représente « la menace la plus importante pour l’Ukraine, les pays membres de l’OTAN et les États qui réagissent concrètement à l’invasion de l’Ukraine par la Russie », ajoutent les analystes chez Drago et Mandiant.

Toutefois, il existe d’autres vecteurs d’attaque. En 2017, lors d’une intrusion par vishing s’appuyant sur l’IA, des hackers ont imité la voix d’un PDG pour ordonner un virement frauduleux de 250 000 dollars. Les autorités n’ont jamais retrouvé les coupables. Selon les experts, les attaques deepfake de ce genre se multiplieront à l’avenir. Les utilisateurs ne s’y attendent pas et, dans la plupart des cas, les infrastructures de sécurité ne sont pas armées pour les affronter. Les autorités sont souvent incapables de retracer les attaques et d’arrêter les coupables. Qui plus est, si ces derniers sont des acteurs soutenus et financés par un État, il est quasiment impossible de les traduire en justice.

Les attaques par impulsion électromagnétique représentent un réel danger

Les attaques contre les entreprises et les organisations peuvent être menées de plusieurs façons non-conventionnelles et elles peuvent entraîner, entre autres, des coupures de courant à haut risque et de longue durée. Aux États-Unis, le ministère de l’énergie, le FBI, la NSA et l’Agence de cybersécurité et de sécurité des infrastructures prennent la question au sérieux et ont émis un avertissement à cet effet.

Les impulsions électromagnétiques peuvent rapidement paralyser les infrastructures critiques. Avec suffisamment de précision, de telles attaques pourraient toucher des nations entières, et même l’UE. En 2015-2016, une attaque de hackers russes contre le réseau électrique ukrainien a heureusement été déjouée. Si une telle attaque devait réussir, cependant, le réseau électrique de toute la communauté européenne serait en danger. Début janvier 2021, le réseau électrique autrichien a connu une forte baisse de fréquence à la suite d’une panne de centrale électrique en Roumanie. Les systèmes sensibles sont les premiers à s’arrêter lorsque ce genre d’incident se produit.

Une coupure de courant de plusieurs jours auraient de graves conséquences économiques pour n’importe quel pays ; c’est pourquoi les hackers soutenus par des États tiers s’en prennent aux infrastructures critiques. En février 2022, un groupe de hackers a mené une attaque contre Vodafone au Portugal, provoquant la panne du réseau mobile mais aussi de nombreux numéros d’urgence. En outre, de telles attaques peuvent rapidement toucher d’autres infrastructures connectées à la 5G.

En 2019, à Paris, des hackers ont piraté des pompes à essence et dérobé 120 000 litres de carburant. La réussite de l’opération ne fut pas le résultat d’une attaque par faute, mais de gérants de station-service ayant omis de changer le mot de passe par défaut de leurs pompes. Cela montre bien que n’importe quelle faille de sécurité peut être exploitée. Et il n’est pas difficile d’imaginer les scénarios catastrophe et la panique généralisée que pourraient provoquer le piratage de pompes à essence.

Les IEM exploitent les failles de sécurité et permettent aux malwares de s’infiltrer

Lors de la conférence REcon sur la sécurité informatique, des chercheurs ont présenté de nouvelles façons de compromettre un processeur à l’aide d’impulsions électromagnétiques.

Secure Boot (démarrage sécurisé) peut être activé par IEM sur n’importe quel processeur. A partir de là, il est facile d’introduire un malware dans l’appareil. De telles « attaques par faute » perturbent les fonctionnalités de sécurité, provoquant des failles qui peuvent être exploitées par des outils de piratage. Ce genre d’attaques peut être mené du début à la fin sans laisser de traces, étant donné qu’aucune manipulation mécanique des appareils ciblés n’est nécessaire. Les pare-feu et autres solutions n’offrent aucune protection dans ce cas.

Les attaques par (injection de) faute : l’Internet des Objets (IoT) est vulnérable aux impulsions électromagnétiques

Les plus petits appareils, notamment dans le domaine de l’Internet des Objets (IoT), sont vulnérables à de telles attaques car ils ne sont pas sécurisés dans une salle de serveurs mais en libre circulation à travers le monde. Néanmoins, ces appareils peuvent aussi être intégrés dans des infrastructures et représentent donc une cible pour les hackers. Les statistiques montrent que plus de 75 milliards d’objets connectés seront en service d’ici 2025. Les attaques par faute ont également un impact sur le Secure Boot des appareils IoT. Cette méthode sert accessoirement à attaquer d’autres appareils, comme nous le montrons ci-dessous.

Les hackers peuvent aussi compromettre les réseaux mobiles

La société Red Balloon, spécialisée dans la sécurité des appareils IoT, est parvenue à altérer la mémoire flash des téléphones « voix sur IP » à l’aide d’attaques par faute. Ces attaques ont permis aux chercheurs d’exécuter des commandes sur téléphone susceptibles de paralyser des réseaux entiers. Dans cette expérience, des IEM ont aussi été employées contre le processeur afin d’affaiblir les fonctionnalités de sécurité.

Dans le cadre de l’attaque, les chercheurs ont pu télécharger et exécuter leur propre code au sein d’une zone sécurisée du processeur. Les composants d’une IEM peuvent être obtenus à faible coût, et les IEM sont facilement déclenchées, en passant la main sur un téléphone, par exemple. Les attaques sont donc très faciles à réaliser et ne peuvent être évitées que lorsque les appareils sont correctement protégés. Mais cela n’est possible que si les utilisateurs ont conscience de ce genre d’attaques et prennent les bonnes mesures.

Vol de données d’un casino par piratage d’aquarium connecté

Les exemples cités jusqu’ici montrent que les hackers sont ingénieux et toujours à l’affût de nouvelles manières de pénétrer les réseaux. L’expansion constante des réseaux ne fait qu’aggraver le problème. Si les appareils IoT ne sont pas protégés contre toutes les menaces, les hackers trouveront des failles à exploiter. En 2017, un groupe de hackers aux États-Unis s’en est pris aux capteurs IoT d’un aquarium dans un casino, accédant ainsi au réseau du casino. Ils ont rapidement découvert d’autres lacunes et fini par dérober une importante quantité de données. À Auburn Hills, dans le Michigan aux États-Unis, deux individus ont accédé de nuit à un immense panneau d’affichage numérique, prenant la main sur le contenu affiché. Le même incident s’est produit à Jakarta. Dans les deux cas, les panneaux d’affichage n’étaient pas correctement protégés.

Les attaques de ce genre peuvent constituer une menace pour la population. En 2019, les sirènes d’alerte de Dallas (États-Unis) ont été piratées et déclenchées, provoquant une panique générale. Les coupables n’ont jamais été arrêtés.