zorandim75 - Fotolia

Triton, le maliciel qui vise les systèmes de sureté industrielle

Les équipes de Mandiant et de Dragos ont découvert un logiciel malveillant qui vise, de manière hautement ciblée, les systèmes Triconex de Schneider. Un modèle pour d’autres opérations.

Comme beaucoup de systèmes informatisés industriels, les systèmes Triconex de Schneider Electric n’ont rien d’anodin. Mais ceux-ci ne concernent pas directement le contrôle et la commande de processus industriels, comme les ICS/Scada dont ils sont théoriquement isolés : ils sont autonomes et s’attachent à leur sûreté ; on parle de systèmes instrumentés de sûreté (SIS). Ainsi, les systèmes Triconex peuvent être déployés dans le cadre de solutions d’arrêt d’urgence, de gestion de situations d’urgence comme les départs de feu ou les fuites de gaz et de combustibles, la surpression dans des conduites, y compris les pipelines, ou encore le contrôle de bruleurs, notamment. Et ce sont donc ces systèmes tout particulièrement critiques qui sont visés par le maliciel Triton.

Une attaque avortée

Dans un billet de blog, les équipes de Mandiant (FireEye) expliquent avoir découvert ce logiciel malveillant dans chez un opérateur d’infrastructure critique, sur des systèmes chargés de gérer les processus d’arrêt d’urgence. Les auteurs de Triton « ont eu accès à distance à une station de travail d’ingénierie SIS et déployé le framework d’attaque Triton pour reprogrammer les contrôleurs. Durant l’incident, certains contrôleurs sont entrés dans un état de sécurité de secours, ce qui interrompt automatiquement le processus industriel et a conduit l’opérateur à lancer une enquête ».

Selon Mandiant, ce n’était pas l’effet escompté : ce passage en état de secours était le résultat de l’échec de la validation du code injecté par les attaquants. Dès lors, les experts estiment « avec une confiance modérée » que ceux-ci essayaient de « développer la capacité à provoquer des dégâts matériels », dans le cadre d’un effort de longue haleine.

Les experts de Dragos ne disent pas autre chose. Ils relèvent en particulier que « chaque SIS est unique et que comprendre les implications des processus nécessite une connaissance spécifique » de ceux-ci. Dès lors, l’attaque observée ne peut pas être utilisée directement à grande échelle.

Une première étape

Elle n’en est pas pour autant anodine, loin de là. Pour les équipes de Dragos, si celui qu’ils appellent Trisis s’inscrit dans la lignée de Stuxnet et d’Industroyer, ou encore d’Havex, il marque toutefois un tournant : il s’agit du premier maliciel conçu pour les SIS, et peut servir de modèle pour d’autres. En outre, il est écrit en Python et affiche une structure modulaire.

Les équipes de Dragos indiquent avoir observé une victime, au Moyen-Orient. Mais elles se gardent d’avancer toute hypothèse quant à l’attribution. Les équipes de Mandiant estiment quant à elle, avec « une confiance modérée » que les auteurs sont liés à un état-nation, notamment du fait des capacités de persistance, de la nature ciblée de l’opération, et de l’absence de motivation financière évidente. Et c’est sans compter avec les ressources nécessaires à l’attaque.

CyberX est légèrement moins évasif quant à la victime concernée : selon ce spécialiste de la sécurité des systèmes industriels, c’est l’Arabie Saoudite qui aurait été visée, « ce qui indiquerait l’Iran comme attaquant plausible ». Et de renvoyer notamment aux épisodes Shamoon de l’automne 2016

Pour approfondir sur Cyberdéfense

Close