Il y a quelques mois, les observateurs du monde de la cybersécurité comme les simples quidams moins calés en dangers informatiques furent pour le moins inquiets en découvrant Triton, également appelé Trisis, un ensemble viral prenant pour cible des installations industrielles «sensibles».
Comprendre usines chimiques ou pétrochimiques, unités de retraitement de l'eau, centrales électriques –plus généralement, tout ce qui est susceptible d'exploser en faisant de très gros dégâts, matériels mais surtout humains.
Les hackers responsables de cette chose clairement conçue pour tuer œuvrent ainsi longuement dans l'ombre pour installer des petites pestes informatiques destinées à désarmer les systèmes de protection des installations, avant éventuellement de porter le coup de grâce en provoquant une catastrophe majeure que plus rien ne peut alors arrêter.
Seule l'une des cibles a pour l'instant été dévoilée, d'abord anonymement puis nommée par une enquête longue et terrifiante publiée sur E&E News. Il s'agissait du complexe pétrochimique Petro Rabigh, en Arabie saoudite: comme une menace de bien pire, l'attaque s'était arrêtée après deux dysfonctionnements mais n'était pas allée jusqu'à déclencher les explosions ou rejets toxiques létaux qui n'étaient peut-être qu'à portée de clic.
Une seconde victime déclarée
On savait que Triton ne s'était pas arrêté aux frontières de l'Arabie saoudite et que la menace planait sur d'autres installations, en Europe ou en Amérique du Nord notamment. Mais l'anxiété vaporeuse s'est concrétisée: la société de cybersécurité FireEye a expliqué le 11 avril, à l'occasion d'un sommet organisé par Kapersky à Singapour, avoir été embauchée en 2018 par une autre usine victime, qu'elle n'a pas nommée pour d'évidentes raisons de confidentialité.
Si FireEye reste discret sur ce second cas, sur les dégâts subis ou potentiels, l'entreprise a pris la liberté de révéler une partie des stratégies qu'adopte le collectif de hackers pour ses attaques, manière de donner quelques pistes de recherche aux structures qui pourraient penser leurs propres systèmes visés. «Nous présentons notre méthodologie au monde pour que tous et toutes puissent détecter cet acteur, que nous prenons très au sérieux», a ainsi exposé le chef de la recherche de FireEye, John Hultquist.
Supposément russes et liées au Kremlin, œuvrant selon l'entreprise depuis 2014 et ayant donc pu poser ses bombes informatiques à retardement dans de multiples installations, les personnes derrière Triton prennent leur temps, parfois des mois, pour infester leurs cibles et créent à chaque fois des outils propres à chaque attaque.
Du temps et du sur-mesure
Pour faire pénétrer Triton au cœur des systèmes qu'il cherche à infester, le groupe crée des versions sur mesure de malwares ou virus communément utilisés dans la communauté du hacking et conçus pour faire tomber les barrières de sécurité, chiper des mots de passe dans la mémoire des systèmes, prendre le contrôle d'ordinateurs à distance ou créer des portes dérobées leur permettant de conserver les accès ainsi ouverts.
Ce simili-custom est une force pour le groupe, dont les malwares peuvent rester invisibles pendant des mois dans un système infecté –ce fut le cas dans les deux opérations que FireEye a pu analyser. C'est aussi, pour eux, une potentielle faiblesse: s'ils ont sans doute déjà modifié leurs méthodes, les révélations de FireEye donnent quelques pistes de recherche à quiconque voudrait retrouver des traces d'une infection.
Les motivations du groupe responsable de Triton restent en revanche incertaines. Cherche-t-il réellement à provoquer, à un horizon incertain, une catastrophe industrielle de grande ampleur? Ou s'entraîne-t-il à le faire en cas de cyberguerre déclarée? La connexion russe est-elle réelle? Des rançons ont-elles ou seront-elles demandées aux entreprises infestées ou aux États visés? Le nombre d'installations concernées est-il beaucoup plus important que nous le pensons à l'heure actuelle? Peut-être préférons-nous ne jamais avoir à répondre à ces questions.
