Une filiale de Schneider Electric se fait dérober des informations

Comprendre l'étendue de l'attaque 

Toujours selon Brian Krebs, qui publie une lettre envoyée par Telvent à ses clients la semaine dernière, la filiale de Schneider a depuis désactivé tous les liens entre ces derniers et les parties contaminées de son réseau, mis en œuvre des procédures de contournement, le temps de nettoyer son réseau. Autre priorité : comprendre l'étendue et la durée de l'attaque. Une task force composée de spécialistes de la maison mère serait à pied d'œuvre. 

Le groupe de hackers chinois soupçonné est connu pour ses activités dans le cyber-espionnage ciblant de grandes entreprises, notamment du domaine de l'énergie. 

L'attaque ne manque pas de rappeler le cas Stuxnet : ce malware qui semble avoir été développé précisément pour détruire une partie des centrifugeuses de l'usine d'enrichissement d'uranium de Natanz (Iran) via un dérèglement du système de contrôle de ces équipements. Sous l'éclairage de ce précédent, Telvent apparaît comme un maillon dans une chaîne d'attaque potentiellement plus vaste et visant, à travers la filiale de Schneider, ses clients finaux. À moins qu'il ne faille voir dans cet incident qu'un acte d'intelligence économique. 

Une chronologie troublante 

La chronologie de l'annonce de cette attaque soulève également quelque interrogations. Le 12 septembre dernier, soit deux jours après avoir découvert l'attaque si on se réfère à la date donnée par Brian Krebs, Telvent publiait un communiqué annonçant un partenariat avec Industrial Defender pour développer une offre clés en main de sécurisation des infrastructures contrôlées avec OASyS SCADA. Une offre basée sur la solution Automation Systems Manager (ASM) d'Industrial Defender qui a été, explique Telvent, "certifiée comme pleinement interopérable avec OASyS DNA SCADA et les solutions ADMS". La question se pose donc désormais de savoir quand a commencé l'attaque visant Telvent et depuis quand celui-ci en était informé. La coïncidence semble en tout cas bien heureuse...

Ironie du sort, Vincent Jaussaud, directeur de la sécurité technique de Schneider Electric, et Gilbert Paccoud, vice-président et responsable de la sécurité des informations au sein du même groupe, doivent intervenir, la semaine prochaine, lors des Assises de la sécurité, qui se dérouleront à Monaco, dans le cadre d'un atelier avec AlienVault. Le programme de l'événement indique qu'ils doivent ainsi expliquer comment le groupe a "déployé une plateforme mondiale de suivi en matière de sécurité afin de protéger ses actifs et sa propriété intellectuelle", en s'appuyant sur la plateforme Unified Security Management d'AlienVault. 

Mise à jour le 27/09 à 16h20: 

Suite à notre sollicitation, une porte-parole de Schneider Electric confirme l'existence de cette attaque, sans être à même toutefois de dénombrer les clients concernés par les vols de données. Elle précise que l'attaque concerne bien Telvent Canada, sans toutefois pouvoir écarter qu'elle puisse avoir touchée d'autres filiales de cet éditeur espagnol racheté par Schneider Electric en 2011. La société explique travailler avec ses clients et les autorités pour s'assurer que la brèche est colmatée, sans toutefois confirmer l'envoi d'une task force sur place.