Peut-être le virus le plus dangereux jamais créé, Triton vise des installations industrielles sensibles. | Cinq1 via Unsplash
Peut-être le virus le plus dangereux jamais créé, Triton vise des installations industrielles sensibles. | Cinq1 via Unsplash

On en sait plus sur Triton, le malware tueur

Ce virus, qui pourrait provoquer catastrophes industrielles et morts en masse, se dévoile peu à peu.

Il y a quelques mois, les observateurs du monde de la cybersécurité comme les simples quidams moins calés en dangers informatiques furent pour le moins inquiets en découvrant Triton, également appelé Trisis, un ensemble viral prenant pour cible des installations industrielles «sensibles».

Comprendre usines chimiques ou pétrochimiques, unités de retraitement de l'eau, centrales électriques –plus généralement, tout ce qui est susceptible d'exploser en faisant de très gros dégâts, matériels mais surtout humains.

Les hackers responsables de cette chose clairement conçue pour tuer œuvrent ainsi longuement dans l'ombre pour installer des petites pestes informatiques destinées à désarmer les systèmes de protection des installations, avant éventuellement de porter le coup de grâce en provoquant une catastrophe majeure que plus rien ne peut alors arrêter.

Seule l'une des cibles a pour l'instant été dévoilée, d'abord anonymement puis nommée par une enquête longue et terrifiante publiée sur E&E News. Il s'agissait du complexe pétrochimique Petro Rabigh, en Arabie saoudite: comme une menace de bien pire, l'attaque s'était arrêtée après deux dysfonctionnements mais n'était pas allée jusqu'à déclencher les explosions ou rejets toxiques létaux qui n'étaient peut-être qu'à portée de clic.

Une seconde victime déclarée

On savait que Triton ne s'était pas arrêté aux frontières de l'Arabie saoudite et que la menace planait sur d'autres installations, en Europe ou en Amérique du Nord notamment. Mais l'anxiété vaporeuse s'est concrétisée: la société de cybersécurité FireEye a expliqué le 11 avril, à l'occasion d'un sommet organisé par Kapersky à Singapour, avoir été embauchée en 2018 par une autre usine victime, qu'elle n'a pas nommée pour d'évidentes raisons de confidentialité.

Si FireEye reste discret sur ce second cas, sur les dégâts subis ou potentiels, l'entreprise a pris la liberté de révéler une partie des stratégies qu'adopte le collectif de hackers pour ses attaques, manière de donner quelques pistes de recherche aux structures qui pourraient penser leurs propres systèmes visés. «Nous présentons notre méthodologie au monde pour que tous et toutes puissent détecter cet acteur, que nous prenons très au sérieux», a ainsi exposé le chef de la recherche de FireEye, John Hultquist.

Supposément russes et liées au Kremlin, œuvrant selon l'entreprise depuis 2014 et ayant donc pu poser ses bombes informatiques à retardement dans de multiples installations, les personnes derrière Triton prennent leur temps, parfois des mois, pour infester leurs cibles et créent à chaque fois des outils propres à chaque attaque.

Du temps et du sur-mesure

Pour faire pénétrer Triton au cœur des systèmes qu'il cherche à infester, le groupe crée des versions sur mesure de malwares ou virus communément utilisés dans la communauté du hacking et conçus pour faire tomber les barrières de sécurité, chiper des mots de passe dans la mémoire des systèmes, prendre le contrôle d'ordinateurs à distance ou créer des portes dérobées leur permettant de conserver les accès ainsi ouverts.

Ce simili-custom est une force pour le groupe, dont les malwares peuvent rester invisibles pendant des mois dans un système infecté –ce fut le cas dans les deux opérations que FireEye a pu analyser. C'est aussi, pour eux, une potentielle faiblesse: s'ils ont sans doute déjà modifié leurs méthodes, les révélations de FireEye donnent quelques pistes de recherche à quiconque voudrait retrouver des traces d'une infection.

Les motivations du groupe responsable de Triton restent en revanche incertaines. Cherche-t-il réellement à provoquer, à un horizon incertain, une catastrophe industrielle de grande ampleur? Ou s'entraîne-t-il à le faire en cas de cyberguerre déclarée? La connexion russe est-elle réelle? Des rançons ont-elles ou seront-elles demandées aux entreprises infestées ou aux États visés? Le nombre d'installations concernées est-il beaucoup plus important que nous le pensons à l'heure actuelle? Peut-être préférons-nous ne jamais avoir à répondre à ces questions.

En ce moment

De terrifiants missiles, Big Brother dans votre quartier, des algorithmes stupides, aujourd'hui sur korii.

Et Cætera

De terrifiants missiles, Big Brother dans votre quartier, des algorithmes stupides, aujourd'hui sur korii.

(Et plein d'autres choses aussii.)

Les machines sont stupides, on a 1.213 exemples pour le prouver

Tech

Les machines sont stupides, on a 1.213 exemples pour le prouver

Des chercheurs ont conçu un questionnaire auquel les êtres humains sont certains de gagner. Pour le moment.

Modifier le génome des plantes pour sauver l'agriculture

Tech

Modifier le génome des plantes pour sauver l'agriculture

Les outils Crispr pourraient théoriquement rendre les sols plus productifs et moins polluants.