L'histoire de la cybersécurité a déjà été traversée par des virus, malwares et attaques informatiques variées capables d'impacter directement le monde physique. Stuxnet, conçu au début des années 2010 par la NSA avec l'appui d'Israël, reste le plus fameux. Il avait permis de rendre folles jusqu'à la rupture les centrifugeuses servant en Iran à produire un uranium très redouté, donnant de facto un coup d'arrêt majeur au programme nucléaire du pays.
Plus près de nous, en 2015 puis 2016, BlackEnergy et CrashOverride ont été utilisés par des hackers russes pour s'en prendre aux installations et aux réseaux électriques de l'ennemi ukrainien et provoquer de vastes coupures dans l'approvisionnement.
Un nouveau type d'attaque semble se préparer –voire est peut-être déjà, dans l'ombre, prête à frapper. L'homme qui l'a découverte le premier est un expert australien en cybersécurité, Julian Gutmanis, appelé en 2017 dans une usine pétrochimique saoudienne ayant détecté coup sur coup deux dysfonctionnements majeurs nécessitant une investigation poussée. Ce qu'il a trouvé et qui est désormais connu sous le nom de Triton ou de Trisis lui a «glacé le sang», écrit la très sérieuse Technology Review du MIT.
Des hackers avaient réussi à s'introduire dans le réseau et à installer divers malwares leur permettant de prendre le contrôle des systèmes de sécurité de l'usine, conçus par le Français Schneider Electric, nommés Triconex et destinés à parer, en dernier ressort, à tout dysfonctionnement potentiellement catastrophique. Parce qu'ils avaient, en parallèle, pu introduire leurs mortelles créations logicielles dans les systèmes gérant la machinerie propre à l'usine, ils pouvaient déclencher des désastres qu'aucun garde-fou ne pouvait plus arrêter.
Pire que Bophal?
En l'occurrence, des explosions meurtrières ou le rejet massif de gaz toxiques. Il est ici fait référence à la tristement célèbre catastrophe de Bophal, en Inde, où l'explosion en 1984 d'une usine appartenant à la firme américaine Union Carbide avait provoqué immédiatement ou dans le temps des milliers de morts –12.000 selon un journaliste du Washington Post, jusqu'à 35.000 selon certaines associations de victimes, plusieurs centaines de milliers de personnes vivant dans la région ayant été blessées.
«C'était la première fois que le monde de la cybersécurité voyait un code délibérément écrit pour mettre des vies en danger, souligne l'auteur de l'article, Martin Giles. Ces systèmes de sécurité ne se trouvent pas uniquement dans les usines pétrochimiques, ils sont aussi la dernière ligne de défense à peu près partout, des systèmes de transports aux centrales nucléaires, en passant par les réseaux de traitement de l'eau.»
Angoissant? Ll'alerte n'est que la première. Et le groupe de hackers à l'origine de Triton, décrit comme extrêmement compétent, patient, disposant d'importants moyens et possiblement lié à une agence russe, semble être en train de se chercher d'autres cibles, en Amérique du Nord notamment.
Dans un contexte où des pays pas forcément très amicaux tels que la Corée du Nord, l'Iran, la Chine ou la Russie semblent muscler leur capacité de cyber-nuisance, la sécurité américaine prend la chose très au sérieux. Son patron Dan Coats a même, dans un discours que l'on n'espère pas prophétique, dressé un parallèle entre ces indices concordants et le «bruit» diffus généré par les discussions entre groupes terroristes qui aurait dû alerter ses services de la préparation des attentats de septembre 2001.
«Nous voici près de deux décennies plus tard, et je suis ici pour expliquer que tous les voyants sont de nouveaux au rouge, avait ainsi déclaré Coats. Aujourd'hui, les infrastructures numériques qui servent ce pays sont littéralement prises d'assaut.» Le nombre important d'installations sensibles en France –on pense notamment aux usines classées Seveso, mais aussi à des centrales nucléaires nombreuses et critiquées– pose également la question de notre propre sécurité si le pays entrait dans le collimateur de ces terroristes numériques.
