Les cyber-attaques paralysent une ville ukrainienne

Imaginez-vous en plein cœur de l'hiver, confiné chez vous par un froid glacial. Soudain, votre chauffage s'arrête, sans raison apparente. Les heures passent, la température chute, mais rien n'y fait : le précieux système qui vous maintient au chaud reste désespérément éteint. C'est le cauchemar qu'ont vécu des milliers d'Ukrainiens en janvier dernier, victimes collatérales d'une nouvelle forme de guerre : les cyberattaques contre les infrastructures critiques.

48 heures de froid et d'angoisse pour les habitants de Lviv

Selon un rapport de la société de cybersécurité Dragos, la ville de Lviv, dans l'ouest de l'Ukraine, a subi une cyberattaque particulièrement vicieuse les 22 et 23 janvier 2024. Des hackers ont réussi à infecter le réseau d'une entreprise municipale de chauffage avec un malware baptisé "FrostyGoop", spécialement conçu pour cibler les systèmes de contrôle industriels des chaudières. Résultat : une coupure générale du chauffage central, en pleine vague de froid, laissant plus de 600 immeubles d'habitation sans autre choix que de grelotter pendant près de 48 heures, le temps que les équipes techniques restaurent péniblement le système.

Comment les pirates ont-ils pu frapper si fort ?

L'enquête des chercheurs de Dragos a révélé que les attaquants avaient exploité une faille de sécurité dans un routeur Mikrotik exposé sur Internet, pour s'introduire dans le réseau de l'entreprise dès avril 2023. Profitant d'une segmentation insuffisante du réseau, ils ont pu se frayer un chemin jusqu'aux contrôleurs des chaudières, des appareils ENCO fabriqués en Chine. Là, ils ont déployé leur malware FrostyGoop, qui a perturbé les capteurs pour envoyer des mesures erronées, conduisant les chaudières à s'arrêter en pensant à tort qu'il y avait un problème. Un véritable cheval de Troie numérique !

« Les adversaires n'ont pas tenté de détruire les contrôleurs. Au lieu de cela, ils leur ont fait signaler des mesures inexactes, entraînant un fonctionnement incorrect du système et la perte de chauffage pour les clients. »

Rapport de Dragos

Un malware furtif et une menace mondiale

Le plus inquiétant dans cette attaque, c'est que FrostyGoop est passé longtemps sous les radars. Détecté par Dragos en avril, le malware était alors considéré comme un simple outil de test. Ce n'est qu'en recoupant après coup des informations des autorités ukrainiennes que les chercheurs ont réalisé son potentiel de nuisance bien réel. Et le problème est loin d'être limité à l'Ukraine : le protocole Modbus ciblé par FrostyGoop est utilisé par des dizaines de milliers d'appareils industriels exposés sur Internet dans le monde !

Une cyberguerre qui n'épargne pas les civils

Bien que l'attaque ait été menée depuis des adresses IP basées à Moscou, les experts de Dragos se gardent d'accuser directement la Russie, faute de preuves matérielles. Mais une chose est sûre : dans le contexte de la guerre en Ukraine, viser le chauffage en plein hiver, c'est s'attaquer directement au moral de la population civile. L'arme cyber permet ainsi de frapper fort, à moindre coût, et en limitant les dégâts physiques directs. Une aubaine pour les stratèges de la guerre hybride...

Un électrochoc pour muscler la cyberdéfense des infrastructures critiques

Bien qu'il ne faille pas céder à un alarmisme excessif, ce type d'attaques montre l'importance cruciale de renforcer la sécurité des systèmes industriels connectés. Segmentation stricte des réseaux, mises à jour régulières, détection des anomalies, plans de continuité... Autant de bonnes pratiques à généraliser d'urgence, en Ukraine comme ailleurs. Car si FrostyGoop n'a fait "que" couper le chauffage, d'autres malwares pourraient demain viser des cibles bien plus sensibles, comme des hôpitaux ou des centrales électriques.

L'heure est donc à une prise de conscience collective et à une mobilisation de tous les acteurs, publics comme privés, pour muscler notre cyberdéfense. Face à des adversaires toujours plus créatifs et déterminés, la vigilance et l'anticipation sont plus que jamais de mise. Sinon, gare aux mauvaises surprises !