Les détails techniques de l’attaque informatique contre un réseau satellite se précisent. L’entreprise américaine Viasat a publié le 30 mars 2022 un rapport d’incident sur la défaillance rencontrée par son satellite Ka-Sat le 24 février dernier, jour où la Russie lançait son offensive pour envahir l’Ukraine. Viasat qualifie l’attaque de « multiforme et délibérée ».
Des modems rendus inopérants
Alors qu’un piratage directement au niveau du satellite lui-même a été envisagé un temps, il s’avère que l’attaque est survenue au niveau des infrastructures terrestres du réseau satellitaire. Une intrusion a été rendue possible à cause d’une mauvaise configuration d’un appareil VPN pour accéder à distance au segment de gestion de confiance du réseau KA-SAT.
À partir de là, continue Viasat, « l’attaquant s’est déplacé latéralement dans ce réseau de gestion de confiance jusqu’à un segment de réseau spécifique utilisé pour gérer et exploiter le réseau, puis a utilisé cet accès au réseau pour exécuter des commandes de gestion légitimes et ciblées sur un grand nombre de modems résidentiels simultanément. »
Ces instructions étaient là pour détruire le fonctionnement des modems, en écrasant les données clés dans la mémoire flash afin de rendre les appareils inopérants. « Briqués », ils ne pouvaient plus se connecter au réseau. C’est uniquement la partie logicielle des modems qui a été mise à mal.
Côté matériel, Viasat n’a relevé aucune altération, compromission, conséquence ou anomalie sur les composants électriques, les pièces physiques ou bien éléments électroniques. L’opérateur n’a pas non plus décelé une quelconque interférence dans la chaîne d’approvisionnement, comme un prestataire, ou dans la distribution et mise à jour du micrologiciel et du logiciel.
Ces constats font dire à Viasat que les modems « ne sont pas définitivement inutilisables » : il est possible de les rétablir en passant par la fonction de réinitialisation d’usine, qui remet à zéro toute la configuration. Dans les faits, les opérateurs qui ont été affectés, comme Bigblu et Nordnet, s’orientent plutôt vers un remplacement du matériel.
Un fort trafic malveillant détecté la nuit de l’attaque
Ces modems, avant d’être déconnectés massivement, ont servi à des attaques par déni de service. Ainsi, dans la nuit du 23 au 24 février, « d’importants volumes de trafic malveillant ciblé ont été détectés en provenance de plusieurs modems […] et d’équipements d’abonné associés, situés physiquement en Ukraine et desservis par l’une des partitions de réseau KA-SAT », détaille Viasat.
Les équipes de l’opérateur ont cherché à mettre hors ligne les modems malveillants, mais d’autres sont apparus au fur et à mesure pour poursuivre l’attaque pendant plusieurs heures. Ces attaques par déni de service visaient, selon l’entreprise, à empêcher les autres modems d’accéder au réseau satellitaire. Certains ont ainsi été mis hors ligne.
L’attaque s’est achevée avec une déconnexion progressive de tous les modems qui passaient par le même segment du satellite. « Un grand nombre de modems dans une grande partie de l’Europe [a quitté] le réseau en l’espace d’environ 45 minutes ». Ce sont des dizaines de milliers de modems qui ont ainsi été touchés et aucun n’a rejoint le réseau ensuite.
« Nous pensons que l’objectif de cette attaque était d’interrompre le service. »
Viasat
« L’attaque a touché la majorité des modems précédemment actifs en Ukraine, et un nombre important de modems supplémentaires dans d’autres parties de l’Europe », résume Viasat. En France, le nombre de victimes est évalué à près de 10 000 personnes. Sur les réseaux sociaux, plusieurs se sont plaints de difficultés plusieurs semaines après les faits.
Le rapport d’incident de Viasat s’en tient à des considérations techniques : le groupe ne se risque pas à attribuer l’attaque, mais dit apporter sa coopération à l’enquête. Viasat a fait appel à Mandiant, un spécialiste américain de la cybersécurité, pour lui fournir une expertise. Par ailleurs, des agences comme la NSA aux USA et l’Anssi et en France s’intéressent de près au dossier.
Compte tenu des circonstances, c’est plutôt du côté de Moscou que tous les regards se portent. Rien d’étonnant : l’armée ukrainienne se sert de cette liaison satellite et il serait cohérent que le Kremlin cherche à compliquer la capacité de son adversaire à s’organiser. En coulisses, les Américains considèrent que ce sont bien les Russes qui ont lancé cette cyberattaque.
La qualification publique a eu lieu lors d’un point presse auquel participait le général Michel Friedling, le patron du commandement spatial. La France a évoqué assez tôt la piste de la cyberattaque, mais sans mentionner un responsable particulier. La France, depuis le début du conflit, cherche à maintenir une ligne de dialogue avec la Russie pour trouver une sortie de crise.
Viasat a depuis mis en place avec ses partenaires et ses filiales diverses « mesures d’atténuation et de récupération afin de rétablir la stabilité du réseau, de préserver la continuité du service ». Cependant, la nature précise de ces dispositions ne sera pas rendue publique, du moins immédiatement, afin d’éviter de donner des indices qui pourraient servir à une nouvelle attaque.
Nouveauté : Découvrez
La meilleure expérience de Numerama, sans publicité,
+ riche,
+ zen,
+ exclusive.
Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !
