Nous rapportions en mars 2019 l'histoire de la découverte de Triton, présenté par divers acteurs de la cybersécurité comme la menace informatique la plus néfaste connue.
Ensemble de virus et malwares conçu sur-mesure par un groupe de hackers nommé Xenotime, il s'attaque à des infrastrucures industrielles et énergétiques de premier ordre: usines chimiques ou pétrochimiques, unités de retraitement de l'eau, centrales électriques.
Inquiétante surveillance
Triton fut fortuitement découvert lors d'une intrusion dans le complexe pétrochimique Petro Rabigh en Arabie saoudite, dont il avait fait sauter les verrous de sécurité destinés à empêcher une catastrophe en cas de dysfonctionnement majeur. En clair: en quelques clics, les hackers auraient sans doute pu provoquer des explosions et des rejets toxiques, entraînant des dégâts humains et techniques d'une ampleur considérable.
Nous savons que Xenotime ne s'est pas arrêté à ce premier coup d'éclat. En avril 2019, la société spécialisée en cybersécurité FireEye a déclaré avoir été embauchée par une seconde cible –qu'elle a refusé de nommer– pour faire le ménage.
Depuis plusieurs mois, la société Dragos, experte dans le même domaine, expliquait quant à elle que les hackers de Xenotime, supposément russes et possiblement en lien avec le Kremlin, s'intéressaient également de près à certaines infrastructures européennes ou américaines.
Elle ne s'est pas trompée: Dragos a affirmé avoir découvert, en association avec l'Electric Information Sharing and Analysis Center (E-ISAC), que Xenotime était venu fouiner du côté du réseau électrique américain.
Selon l'entreprise, pas moins de vingt structures différentes réparties sur l'intégralité de la chaîne de production et de distribution auraient été scannées par les pirates.
Leur objectif? Commencer à prendre la température, comprendre le système, trouver de possibles failles ou portes dérobées, pour éventuellement y déposer plus tard leurs petites bombes virales et déclencher de véritables attaques.
L'Amérique, pas en reste
Faut-il y voir un hasard? Le 15 juin, le New York Times notait de son côté que les États-Unis et leurs agences spécialisées se montraient de plus en plus menaçantes envers les installations électriques russes, «avec le placement dans le système russe de malwares potentiellement paralysants, à une profondeur et avec une agressivité qui n'avaient jamais été vues jusqu'ici».
En conférence de presse, le conseiller à la sécurité nationale John R. Bolton a laissé entendre que les intrusions américaines étaient une réponse aux ingérences russes dans les élections de mi-mandat de 2018. Selon plusieurs analystes, il s'agit avant tout d'un signal envoyé à Vladimir Poutine pour lui signifier que les États-Unis sont eux aussi prêts à réagir en cas de cyberattaque.
Comme le relève le New York Times, les attaques numériques entre les deux nations rivales sont loin d'être nouvelles. La Russie démontre régulièrement le haut potentiel malfaisant de ses équipes de hackers.
Il semble néanmoins que d'un côté comme de l'autre, l'on se prépare de plus en plus activement à des attaques ou ripostes très concrètes. Pour les États-Unis, l'Iran pourrait également constituer une cible de choix.
