La cyberattaque contre les réseaux électriques ukrainiens du 23 décembre 2015

06/05/2016
Publication REE REE 2016-2
OAI : oai:www.see.asso.fr:1301:2016-2:16479

Résumé

La cyberattaque contre les réseaux électriques ukrainiens du 23 décembre 2015

Auteurs

Transition énergétique : il est temps de redonner la priorité à l’électricité
Comment décarboner les transports lourds de marchandises ?
La RATP se met au vert
Autoconsommation : le débat ne fait que commencer
Un mix gazier 100 % renouvelable en 2050 : peut-on y croire ?
La fiscalité du carbone se renforce
Stratégie nationale bas carbone : les premiers indicateurs de résultats interpellent
Eoliennes flottantes : deux inaugurations importantes mais beaucoup d’incertitudes demeurent
Vers un cluster de l’hydrogène dans la région de Liverpool-Manchester
Les batteries Li-ion pour l’automobile : un marché en pleine évolution
Mobileye et le Road Experience Management (REMTM)
La cyber-sécurité dans les systèmes d'automatisme et de contrôle de procédé
Les applications industrielles et scientifiques des logiciels libres : aperçu général
Les applications industrielles des logiciels. libres
Les applications industrielles des logiciels libres (2ème partie)
L'identification par radiofréquence (RFID) Techniques et perspectives
La cyber-sécurité des automatismes et des systèmes de contrôle de procédé. Le standard ISA-99
Êtes-vous un « maker » ?
Entretien avec Bernard Salha
- TensorFlow, un simple outil de plus ou une révolution pour l’intelligence artificielle ?
Donald Trump annonce que les Etats-Unis se retirent de le l’accord de Paris
L’énergie et les données
Consommer de l’électricité serait-il devenu un péché ?
Un nouveau regard sur la conjecture de Riemann – Philippe Riot, Alain Le Méhauté
Faut-il donner aux autorités chargées du respect de la loi l’accès aux données chiffrées ?
Cybersécurité de l’Internet des objets : même les ampoules connectées pourraient être attaquées
L’Internet des objets - Deux technologies clés : les réseaux de communication et les protocoles (Partie 2)
ISA L’évolution des normes et des modèles
FIEEC - SEE - Présentation SEE et REE - mars 2014
Les radiocommunications à ondes millimétriques arrivent à maturité
L’Internet des objets - Deux technologies clés : les réseaux de communication et les protocoles (Partie 1)
Internet des objets : l’ARCEP et l’ANFR mettent à la consultation l’utilisation de nouvelles bandes de fréquence autour de 900 MHz
L’énergie positive
Controverses sur le chiffrement : Shannon aurait eu son mot à dire
La cyberattaque contre les réseaux électriques ukrainiens du 23 décembre 2015
Le démantèlement des installations nucléaires
L’Accord de Paris
Les data centers
L’hydrogène
Le piégeage et la récolte de l’énergie. L’energy harvesting
Régalez-vous, c’est autant que les Prussiens n’auront pas...
Le kWh mal traité Deuxième partie : le contenu en CO2 du kWh
Le kWh mal traité
Enova2014 - Le technorama de la REE
Les grands projets solaires du pourtour méditerranéen
Après Fukushima, le nucléaire en question ?
On sait désormais stocker les photons pendant une minute
Identification d’objet par imagerie fantôme utilisant le moment orbital angulaire
La découverte du boson de Higgs, si elle est avérée, confirmera le modèle standard
Multiplexage par moment angulaire orbital : mythe ou réalité ?
Supercalculateur quantique: le choix de la supraconductivité
Photovoltaïque : la course au rendement se poursuit
Production d’hydrogène par photolyse de l’eau assistée par résonance plasmon
Vers une meilleure compréhension du bruit de scintillation
Les nombres premiers en première ligne
La nouvelle révolution des moteurs électriques
Les cyber-attaques, un risque pour nos grandes infrastructures ?
Le stockage de l’électricité
Le véhicule électrique (2) : comment donner corps à la transition énergétique ?
L'automatisation des transports publics
Les technologies nouvelles de l’éclairage : leur impact sur l'environnement et la santé
Les énergies marines renouvelables
Le véhicule électrique : une grande cause nationale
Médaille Ampère 2012
Berges2009_Hauet.pdf
Prix Bergès 2009

Métriques

112
10
215.23 Ko
 application/pdf
bitcache://e57dc4ea437fea3fe4f5867144058ae5be32bf7d

Licence

Creative Commons Aucune (Tous droits réservés)
<resource  xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
                xmlns="http://datacite.org/schema/kernel-4"
                xsi:schemaLocation="http://datacite.org/schema/kernel-4 http://schema.datacite.org/meta/kernel-4/metadata.xsd">
        <identifier identifierType="DOI">10.23723/1301:2016-2/16479</identifier><creators><creator><creatorName>Jean-Pierre Hauet</creatorName></creator></creators><titles>
            <title>La cyberattaque contre les réseaux électriques ukrainiens du 23 décembre 2015 </title></titles>
        <publisher>SEE</publisher>
        <publicationYear>2016</publicationYear>
        <resourceType resourceTypeGeneral="Text">Text</resourceType><dates>
	    <date dateType="Created">Fri 6 May 2016</date>
	    <date dateType="Updated">Thu 26 Jan 2017</date>
            <date dateType="Submitted">Wed 19 Sep 2018</date>
	</dates>
        <alternateIdentifiers>
	    <alternateIdentifier alternateIdentifierType="bitstream">e57dc4ea437fea3fe4f5867144058ae5be32bf7d</alternateIdentifier>
	</alternateIdentifiers>
        <formats>
	    <format>application/pdf</format>
	</formats>
	<version>27626</version>
        <descriptions>
            <description descriptionType="Abstract"></description>
        </descriptions>
    </resource>
.

12 REE N°2/2016 ©gjp311-Fotolia ACTUALITÉS Le 23 décembre 2015, à partir de 15 h 30 environ, les opé- rateurs des centres de contrôle de trois distributeurs d’élec- tricité de l’Ouest de l’Ukraine (dans l’oblast d’Ivano-Frankivsk notamment) perdent le contrôle du système électrique dont ils ont la charge. Sur leurs écrans de contrôle, une main invi- sible s’est emparée du curseur et ouvre un à un les disjonc- teurs qui commandent le réseau. Les opérateurs essaient de reprendre le contrôle mais rien ne répond et la machine leur refuse l’accès. Ils tentent de se connecter à nouveau mais leurs mots de passe sont devenus inopérants. En l’espace d’une demi-heure, une trentaine de sous- stations sont mises hors service et 225 000 foyers de l’Ouest ukrainien sont privés d’électricité. Les centres de contrôle eux-mêmes sont plongés dans le noir car les alimentations de secours (UPS) ne fonctionnent pas. Impossible de faire le point de la situation au téléphone car le réseau est saturé. Quatre-vingt-dix minutes après l’attaque une bombe logique active un logiciel malveillant qui détruit les logiciels implan- tés sur les stations de contrôle. Des agents sont envoyés sur le terrain et l’alimentation est rétablie manuellement en quelques heures mais deux mois après les évènements l’ex- ploitation n’était pas encore redevenue normale. Le scénario probable de l’attaque Dès 17 h 37, la principale utilité touchée, Prykarpattya Oblenergo (http://www.oe.if.ua/), évoquait sur son site Inter- net l’hypothèse d’une ingérence extérieure et présentait ses excuses à ses clients. Par la suite les autorités ukrainiennes ont fait appel au FBI et au Department of Homeland Security américains pour analyser le déroulement de la cyberattaque. Cette attaque semble avoir été conduite par deux équipes d’intervenants successifs : mercenaires du cybercrime, comme il en existe en Chine, aux Etats-Unis et en Russie, qui aurait conçu le scénario et mené à bien la phase préliminaire ; - nels des réseaux électriques capables d’opérer à distance un système de contrôle. La phase préliminaire a consisté en une attaque banale en spear-phishing (harponnage) qui remonterait à mai 2015 et s’est traduite par l’envoi d’un grand nombre de courriels non sollicités vers les utilités ukrainiennes et d’ailleurs également vers d’autres infrastructures du pays. A ces courriels était joint un document Word contenant des macros qu’à l’ouverture le destinataire était invité à activer. Des informations dispo- nibles publiquement sur Internet ont peut-être facilité l’at- taque, un intégrateur ayant par exemple documenté (à des fins commerciales) la prestation pour l’un des opérateurs, avec la liste détaillée des matériels et versions mis en place, dont les passerelles Ethernet-série. L’attaque a été fructueuse sur trois compagnies régionales d’électricité permettant à l’agresseur de pénétrer dans le sys- tème de gestion des entreprises. Il leur fallait alors descendre au niveau des SCADA (Supervisory Control and Data Acqui- sition) qui étaient tous différents et protégés par des pare- feu. Le passage ne s’est pas fait en force, en exploitant des failles éventuelles des équipements, mais après quelques mois en utilisant des accès légitimes : après reconnaissance approfondie des lieux et compromission des contrôleurs de domaine Windows, les attaquants ont eu accès aux clés et mots de passe protégeant les passerelles et les réseaux de commande à distance (VPN) vers les SCADA. Les logiciels de contrôle et les UPS ont été reconfigurés pour préparer l’attaque. VPN et les UPS ont été neutralisées. Les disjoncteurs ont été actionnés les uns après les autres sans que les opéra- La cyberattaque contre les réseaux électriques ukrainiens du 23 décembre 2015 REE N°2/2016 13 teurs puissent s’y opposer. Puis le firmware des passerelles Ethernet-Série a été écrasé, les rendant non seulement ino- pérantes mais irrécupérables et contribuant à empêcher la reprise de contrôle. Les centres de contrôle ont été plongés dans l’obscurité du fait de la défaillance des UPS. Dans le même temps, une attaque en déni de service, sous forme d’une vague d’appels massifs provenant d’un pays voisin, a neutralisé le réseau téléphonique. Seul, le réseau Internet est resté en service permettant aux compagnies d’informer leurs usagers via leurs sites. A la fin de l’attaque, le logiciel malveillant KillDisk, activé par une bombe logique, est venu effacer les logiciels installés dans les stations opérateurs, ainsi que des systèmes d’en- trées-sorties déportées (RTU), ce qui a rendu plus difficile la restauration des réseaux. Il est à noter que le logiciel malveillant Blackenergy3 utilisé à plusieurs reprises dans des campagnes précédentes tou- chant notamment l’Ukraine1 , semble avoir été utilisé comme trojan pour pénétrer par harponnage les systèmes et per- mettre l’installation d’une porte dérobée. La figure 1 repro- duit un message utilisant Blackenergy qui semble provenir du Conseil suprême d’Ukraine, le Rada. Les enseignements à en tirer Cette attaque très sophistiquée est la troisième connue conduisant à une défaillance majeure sur une installation 1 Blackenergy est un logiciel malveillant dont les premières versions remontent à 2007. Il a été utilisé notamment dans les cyberattaques contre la Géorgie en 2008. Il a été perfectionné depuis et serait couramment utilisé par le gang russe Quedagh. Voir les informa- tions diffusées par F-secure (Finlande) : https://www.f-secure.com/ documents/996508/1030745/blackenergy_whitepaper.pdf industrielle, après l’attaque Stuxnet (juillet 2010) et celle dirigée en 2014 contre une usine métallurgique allemande. De nombreux enseignements seront à en tirer et le débrie- fing ne fait que commencer. En premier lieu, une sensibilisation de tous les person- nels aurait permis d’éviter de tomber dans le piège du har- ponnage. En second lieu il faut renforcer la protection des communications entre système de gestion et système de contrôle. L’IEC 62443 impose un contrôle d’identification basé sur deux facteurs mais d’autres solutions, telles que les data-diodes peuvent s’imposer. La procédure des «listes blanches» permet également d’éviter l’installation d’applica- tions corrompues. Enfin des solutions de détection d’intru- sion sur réseau industriel, permettant d’identifier les activités malveillantes, notamment durant les phases de découverte de réseau, pourront à l’avenir réduire le risque, mais sont aujourd’hui à un stade encore peu mature. Il faut également revoir les sécurités des réseaux de com- munication à distance (VPN), comprendre pourquoi elles ont été franchies et bien entendu, revoir la sécurité des UPS, notamment leurs accès à distance pour la télémaintenance. L’ICS-CERT du DHS américain fournit une première liste de recommandations accessibles sur https://ics-cert.us-cert. gov/alerts/IR-ALERT-H-16-056-01 . Cet incident vient souligner, s’il en était besoin, l’utilité des travaux engagés par la SEE dans le cadre du groupe de travail sur la cybersécurité des réseaux électriques intelligents dont le Livre blanc, publié, à la fin 2015, peut être téléchargé sur http://www.see.asso.fr/node/15232/lightbox2 JPH ACTUALITÉS Figure 1 : Courriel semblant provenir du Rada ukrainien et utilisé dans des attaques de spear-phishing fondées sur black energy. Source : CyS Centrum LLC.