Actualités de la sécurité

Zoom sur le piratage du réseau informatique d’un réacteur nucléaire

Jeff Elder, 2 novembre 2019

L’analyste qui a alerté les responsables du gouvernement indien à propos d’une menace très médiatisée explique qu’il est au centre d’un cycle médiatique très déroutant

Cette semaine, un rapport a signalé que des pirates avaient obtenu un accès au réseau informatique d'une centrale nucléaire indienne. Cette nouvelle a provoqué la panique et la confusion alors que les responsables du gouvernement ont nié ce piratage pour ensuite le confirmer. L’analyste de menaces qui a signalé le problème a pu bénéficier d’un point de vue unique sur la déferlante médiatique qu’a suscité ce sujet de cybersécurité. 

Le 3 septembre, l’analyste de menaces Pukhraj Singh (photo) a annoncé la compromission du contrôleur de domaine de la centrale nucléaire de Kudankulam au coordinateur national de la cybersécurité de l'Inde. Divers e-mails ont alors été échangés. Au bout de presque deux mois, le gouvernement n'avait toujours pas annoncé publiquement l’attaque. Lorsque Singh l’a dévoilée sur Twitter le 28 octobre, le gouvernement l’a niée pour la confirmer dès le lendemain. 

new-mugshot-pukhrajCe piratage a un rapport avec la Corée du Nord et peut être comparé au piratage de la Russie sur desinstallations des États-Unis que le gouvernement des États-Unis a signalé l’an dernier. Compte tenu de l’impact des attaques « parrainées » par les États contre les réseaux et infrastructures électriques, la réponse peu claire du gouvernement indien a engendré une multitude de reportages contradictoires et de publications sur les médias sociaux. Ancien analyste en cybersécurité du gouvernement, Singh s'est retrouvé au cœur de la tourmente après avoir signalé le piratage au gouvernement et au public. (Singh insiste sur le fait qu’il n'a pas découvert l'intrusion, mais qu'il a aidé des chercheurs en menaces qui préfèrent rester anonymes.)

« Mon profil Twitter est inondé », a-t-il déclaré. Notamment de tweets interprétant l'intrusion-même comme un piratage du réacteur nucléaire. « J'ai essayé plusieurs fois de clarifier cela. Ce n’est pas mon travail ni mon objectif de savoir si les systèmes de contrôle ont été compromis. » Le gouvernement indien a déclaré que la centrale et les autres systèmes de contrôle des centrales nucléaires ne pouvaient pas être piratés car ils sont autonomes et ne sont connectés ni à des cyber-réseaux extérieurs, ni à Internet.

Singh affirme cependant que « des cibles extrêmement critiques ont été touchées » lors d'une attaque qui pourrait relever d’un espionnage de haut niveau. « Un contrôleur de domaine authentifie et autorise d'autres ressources et entités du réseau. C’est le meilleur point de vue dont peuvent disposer des attaquants. Les intrus se sont basés dessus. Ils tramaient quelque chose, probablement une attaque d’espionnage. »

Singh dit qu’il n’est « pas en mesure de parler de la réaction du gouvernement. J'ai informé le dernier échelon des responsables de la cybersécurité. » Pour lui, ce qu’il faut retenir de cet événément, c'est que « la communication est essentielle. Divulguer des faits de façon responsable est une victoire en soi et peut constituer une manœuvre stratégique pour renverser la situation contre l'adversaire. »

Luis Corrons, évangéliste de la sécurité chez Avast, a déclaré qu'il fallait absolument garder hors ligne les systèmes de production d'énergie des réacteurs nucléaires. « Dieu merci, les humains sont conscients de leurs limites et les réacteurs nucléaires ne sont pas connectés à Internet. Mais les réseaux informatiques comme celui-ci ou ceux d’autres industries et installations sont de plus en plus connectés à Internet, ce qui implique la sécurité publique. À titre d’exemple, on peut citer cette cyberattaque contre l’Ukraine qui a laissé une partie de la population sans électricité en plein hiver. Singh a raison : l’information est essentielle et les responsables gouvernementaux se doivent d'informer les citoyens des événements autant que la sécurité nationale le permet. » 

En savoir plus sur la façon dont les nations se piratent entre elles et sur la façon dont il faut traiter une violation de données sur le blog Avast.