chungking - Fotolia

Trisis : l’échec bien involontaire d’un groupe appelé à ne pas le reproduire

Si ce maliciel très spécifique a été découvert, c’est grâce à une erreur qui est appelée à ne pas se répéter. Car le groupe aux commandes aurait déjà commencé à prendre du galon.

C’est mi-décembre dernier que les équipes de Mandiant et de Dragos ont levé le voile sur Triton, soulignant au passage eux-aussi la nature hautement ciblée de l’opération : « chaque système de sûreté industriel (SIS) est unique ; comprendre les implications des processus en nécessite une connaissance spécifique ».

Pour les équipes de Dragos, si celui qu’ils appellent Trisis s’inscrit dans la lignée de Stuxnet et d’Industroyer, ou encore d’Havex, il marque toutefois un tournant : il s’agit du premier maliciel conçu pour les systèmes de sûreté industrielle (SIS), et peut servir de modèle pour d’autres. Sur Twitter, Robert M. Lee, le patron de Dragos, ne cache pas son inquiétude : le groupe à l’origine de Trisis, baptisé Xenotime, « m’ennuie profondément », indique-t-il.

Car la réalité est là : « quelqu’un qui vise les systèmes de sûreté, ou entend le faire, ou seulement accepte que quelqu'un le fasse, est prêt à tuer. Cela ne veut pas dire que c’est imminent, mais c’est une réalité ».

Si Robert M. Lee est préoccupé, c’est notamment parce que selon lui et ses équipes, le groupe Xenotime a déjà étendu ses activités au-delà du Moyen-Orient où se trouve sa victime dans l’infrastructure de laquelle a été découvert Trisis.

Et ce n’est pas tout. Trisis avait été développé spécifiquement pour les SIS de la gamme Triconex de Schneider Electric. Il s’appuyait sur une vulnérabilité vieille de 16 ans mais inconnue jusqu’alors. Cette spécificité ne doit cependant pas cacher la structure modulaire, et flexible de Trisis : écrit en Python, ce maliciel peut aisément être adapté à d’autres SIS, et servir de modèle pour d’autres. Et cela d’autant plus que son code source a été rendu public.

Justement, selon Dragos, le groupe Xenotime, qui serait actif depuis au moins 2014, « opère aujourd’hui dans de multiples installations [industrielles], visant des systèmes de sûreté au-delà de Triconex ». Rien que cela, pour Robert M. Lee, devrait suffire à « déranger tout le monde », car « si vous avez un système de sûreté [industrielle], vous devriez prendre ce risque en considération ».

La bonne nouvelle ? Xenotime ne s’appuie pas – au moins pour l’heure – sur des choses inédites ou non documentées : « n’importe quel niveau de supervision industrielle et de détection de menace devrait pouvoir détecter sans trop de difficulté les activités correspondantes ». Mais encore faut-il au moins assurer cette supervision.

Quoi qu’il en soit, pour Dragos, si Trisis a été découvert, c’est grâce à une erreur de jeunesse de Xenotime. Une erreur qui ne se reproduira probablement pas.

Pour approfondir sur Menaces, Ransomwares, DDoS

Close