t4nkyong - Fotolia

Ukraine : nouvelle coupure électrique causée par une attaque informatique

Un premier incident était survenu fin décembre 2015. Le mode opératoire et les outils utilisés seraient très proches.

Mi-décembre dernier, l’Ukraine a souffert d’une importante coupure électrique, privant Kiev d’un cinquième de sa puissance consommée au moment où elle est survenue. C’est la sous-station de Pivnichna, en banlieue de la ville qui a été affectée.

Cité par nos confrères de la BBC, Oleksii Yasnskiy d’ISSP Labs, chargé de l’enquête par l’électricien Ukrenergo, estime que cette coupure trouve son origine dans une attaque informatique comparable à celle qui avait affecté la région d’Ivano-Frankivsk fin décembre 2015.

A l’époque, Michael Assante, directeur des activités du SANS liées à la sécurité des systèmes de contrôle industriel, le SANS-ICS, avait confirmé cette première : « il est clair que des cyberattaques ont été directement responsables de coupures d’électricité en Ukraine ».

Mais il apportait également des éléments supplémentaires. En particulier, la synthèse de ce co-fondateur de NexDefense, un spécialiste de la protection des systèmes Scada, mettait en évidence une opération impressionnante de coordination : « les adversaires ont lancé une intrusion sur les systèmes Scada de production, infecté stations de travail et serveurs, rendu aveugles les opérateurs, agi pour endommager les hôtes des systèmes Scada [afin d’en ralentir la restauration et/ou de rentre l’enquête plus difficile], submergé les centres d’appel pour empêcher les clients de signaler la coupure d’électricité ».

Le composant destructeur de BlackEnergy – KillDisk – n’était pas à l’origine de la coupure d’électricité : « le logiciel malveillant a probablement permis l’attaque, il y a eu une attaque intentionnelle, mais le composant KillDisk en lui-même n’a pas causé la coupure ».

L’attaque ayant provoqué la coupure de courant de la mi-décembre n’était apparemment isolée et fait partie d’une vague démarrée début décembre et achevée le 20 de ce même mois. Oleksii Yasnskiy indique que « les attaques de 2016 sont devenues plus complexes et bien mieux organisées » que celles de l’année précédente.

Fin décembre dernier, le président ukrainien Petro Poroshenko a assuré que des pirates avaient visé des institutions locales environ 6 500 fois au cours des deux derniers mois de l’année. Et d’estimer que des « actes de terrorisme et de sabotage sur des infrastructures critiques restent possibles aujourd’hui » tout en assurant que les enquêtes sur divers incidents avaient permis d’établir un lien, « direct ou indirect » avec la Russie. 

Pour approfondir sur Cyberdéfense

Close