Mardi, le ministre israélien de l’Énergie, Yuval Steinitz, déclarait que le pays avait été frappé par une puissante cyberattaque visant ses infrastructures électriques. Il semblerait que la vérité soit moins catastrophique, puisqu’un ransomware aurait frappé un organe régulateur lié à l’énergie. Explications.
Le contexte était là. En avril 2015, l’ancien directeur de la NSA Keith Alexander martelait que le danger était manifeste : les systèmes SCADA (Supervisory Control And Data Acquisition), des infrastructures de contrôle et de gestion des données sur de larges échelles, étaient beaucoup trop vulnérables. Il y a trois semaines, voilà qu’une région de l’Ukraine subissait justement des avaries suite à une attaque savamment orchestrée contre ses centrales.
Urgence sur les systèmes SCADA ?
Mardi, quand le ministre israélien de l’Énergie, Yuval Steinitz, est venu annoncer qu’une grande cyberattaque avait eu lieu contre les infrastructures électriques du pays, il pouvait être certain d’obtenir l’attention des personnes présentes. Et ce d’autant plus que le ministre intervenait en pleine conférence Cybertech 2016 à Tel Aviv.
Ses propos, rapportés par Times of Israël, étaient sans ambigüité : « Nous avons identifié hier l’une des plus vastes cyberattaques que nous ayons affrontées. Le virus était déjà identifié et le bon logiciel était déjà préparé à le neutraliser. Nous avons dû geler bon nombre de nos ordinateurs à l’Israeli Electricity Authority. Nous avons la solution en main, et nous espérons que ce très sérieux évènement sera bientôt terminé. Mais, pour l’instant, les systèmes informatiques ne fonctionnement pas comme ils le devraient ».
Le discours est parfaitement aligné sur les avertissements de Keith Alexander et porté évidemment par les récents évènements en Ukraine. Il avait d'ailleurs ajouté : « C’est un nouvel exemple de la sensibilité des infrastructures aux cyberattaques, et de l’importance de se préparer nous-mêmes pour nous défendre contre de telles attaques ». Mais tout le monde n’est pas d’accord avec cette version des faits.
Du virus destructeur au simple ransomware sur quelques PC administratifs
Plusieurs médias israéliens, notamment Ynet, indiquent que le virus en question serait un ransomware. Pourquoi dans ce cas attaquer des infrastructures avec un tel malware ? Parce que les infrastructures elles-mêmes n’auraient jamais été en danger. Le problème serait parti d’un employé de l’Israeli Electricity Authority (IEA), un organe de régulation, dont le travail est essentiellement administratif et qui ne compte qu’une trentaine de personnes dans ses locaux. L’ouverture d’un email piégé aurait provoqué l’activation du ransomware, avant que ce dernier ne s’étende sur le réseau et d’autres machines, provoquant le fameux « gel » des ordinateurs indiqué par le ministre.
Sur le blog de la division ICS (Industrial Control Systems) du SANS, Robert M. Lee invitait déjà à la prudence sur les éléments communiqués. Peu après, il indiquait dans une mise à jour avoir reçu des informations d’un cyberanalyste israélien, Eyal Sela, selon lesquelles les propos du ministre ne devaient clairement pas être pris pour argent comptant. Il soulignait également qu’aucune panne de courant n’avait été détectée, ce qui, dans le contexte actuel, n’aurait pas manqué d’être visible.
Mardi et mercredi ont en effet vu le pays battre son record historique de consommation électrique. Le Jerusalem Post indiquait ainsi mercredi que la demande de la veille au soir avait atteint les 12 160 mégawatts, à cause de températures négatives. La question est bien entendu du coup de savoir pourquoi un ministre irait alors communiquer sur une vaste attaque.
Les cyberattaques « deviendront une menace majeure »
Une partie de ses propos, rapportée par Israël National News, fournit une piste : « Nous avons besoin que nos technologies puissent prévenir de telles attaques. Les cyberattaques sur les infrastructures peuvent paralyser les centrales électriques et l’intégralité de la chaine de distribution, allant du gaz naturel au pétrole, en passant par l’essence et l’eau, tout en pouvant causer des accidents mortels. Les organisations terroristes telles que Daech, le Hezbollah, le Hamas et Al Qaïda ont réalisé qu’elles pouvaient causer d’énormes dégâts en utilisant ce type d’attaque contre les nations. Les cyberattaques sont une grande menace et je suis certain qu’elles deviendront une menace majeure durant la prochaine décennie ».
Un discours anxiogène qui, s’il n’est pas dénué de tout fondement, a tout de même été préparé pour être le discours de clôture du ministre durant la conférence Cybertech 2016, devant de très nombreux spécialistes de la sécurité. Peut-être le ministre espérait-il provoquer un sursaut « salvateur » pour renforcer des défenses jugées actuellement trop faibles.
