Dans un rapport, l'entreprise de cybersécurité Symantec affirme que plusieurs centrales électriques et nucléaires situées en Europe et aux États-Unis ont été infiltrées par des hackeurs. Le groupe, surnommé Dragonfly, serait en capacité de les désactiver.

Certaines centrales nucléaires et électriques installées en Europe et aux États-Unis ont tout intérêt à se montrer encore plus vigilantes qu’à l’accoutumée, à en croire le rapport publié ce mercredi 6 septembre par l’entreprise de cybersécurité Symantec. Elle y affirme en effet qu’un groupe de hackeurs connu sous le nom de Dragonfly a réussi à s’infiltrer avec succès dans le réseau interne de plusieurs de ses cibles.

Le groupe, apparu dès 2011, aurait fait profil bas à compter de 2014, après que son existence a été révélée au public Mais, selon Symantec, il aurait repris ses activités récemment, en parvenant notamment à infiltrer plus d’une vingtaine de centrales au printemps et à l’été 2016. Tout en accédant au système opérationnel de plusieurs établissements situés respectivement en Suisse, aux États-Unis mais aussi en Turquie.

L’entreprise tire la sonnette d’alarme : « Le groupe Dragonfly semble vouloir découvrir comment fonctionnent ces usines mais aussi accéder aux systèmes opérationnels directement. Au point que le groupe a désormais la capacité de se livrer à du sabotage ou à en prendre le contrôle s’il le souhaite. »

À ce stade, Dragonfly n’en serait qu’à la collecte d’informations, selon Symantec, qui estime toutefois que les hackeurs pourraient bientôt passer à la phase suivante, bien plus dangereuse, comme l’explique l’un de ses analystes, Eric Chien : « Il y a une différence entre être presque capable de mener un sabotage et être en position de le faire réellement, en ayant la possibilité d’activer l’interrupteur qui contrôle la production d’énergie. » Un scénario qu’il juge actuellement réalisable aux États-Unis.

Du code en russe et en français

L’infiltration de Dragonfly dans ces centrales repose sur plusieurs techniques, notamment sur l’envoi aux salariés de pièces jointes piégées par mail, afin d’installer des backdoors dans le réseau interne. Mais Dragonfly peut aussi monter de toutes pièces de fausses mises à jour de Flash afin de provoquer le téléchargement des mêmes backdoors.

Qui se cache derrière ce groupe ? Le mystère reste entier : les parties du code utilisé par Dragonfly sont alternativement en français et en russe, ce qui montre, aux yeux de Symantec, que « l’une des deux langues est une fausse piste ».

Le domaine de l’énergie ukrainien a été particulièrement touché ces dernières années, que ce soit après l’attaque du groupe Sandworm, en 2015, ou celle subie par le réseau électrique de la capitale, Kiev, en 2016.

Partager sur les réseaux sociaux