Technologie : en Ukraine, le logiciel malveillant VPNFilter aurait-il pu déclencher une catastrophe ?

La récente découverte du logiciel malveillant VPNFilter dans le système d'information d'une usine de traitement de l'eau en Ukraine relance les inquiétudes sur la sécurité informatique des infrastructures critiques. La Russie est pointée du doigt, mais aussi l'Internet des Objet (IoT), dont les failles de sécurité continuent de poser problème au niveau mondial.
Image
IoT
Partager3 minutes de lecture
Le 12 juillet 2018, le Service de sécurité d'Ukraine (Sloujba Bezpeky Oukrayiny - SBU) annonçait que le malware VPNFilter avait été détecté et retiré du système d'information de la centrale de filtrage d’eau "Aul Chlorotransfer Station", dans la province de Dnipropetrovsk. VPNFilter est un logiciel malveillant découvert en mai dernier par Talos, le laboratoire en sécurité informatique de l'entreprise Cisco qui l'a nommé ainsi en référence à ses capacités à utiliser le réseau chiffré Tor. Ce logiciel a infecté 500 000 routeurs et serveur de stockage réseau, dans 54 pays, dont une grande partie se situe en Ukraine. Ce logiciel malveillant cible des matériels équipés d'un logiciel de gestion réseau très utilisé pour l 'IoT (Internet des Objets) et inquiète les spécialistes de la sécurité informatique : VPNFilter peut offrir des accès d'administration distante aux pirates mais aussi endommager du matériel. 

Logiciel modulaire  

Dans le cas de la centrale de filtrage d'eau ukrainienne, la crainte des autorités était la possibilité pour le logiciel de modifier les mesures des taux de chlore afin de rendre l'eau non-consommable. VPNfilter a été detecté en Ukraine quelques mois auparavant, le 23 mai 2018, et — selon les autorités — devait servir à opérer une attaque informatique de grande ampleur dans le pays au moment de la finale de la Ligue des Champions. Le logiciel malveillant seul n'est toutefois pas dangereux, tant qu'il n'a pas téléchargé des "modules" spécialisés : accès distants en ligne de commande, manipulation de fichiers, redémarrage des machines, connexion au réseau chiffré Tor et même recherche de systèmes SCADA (systèmes d'acquisition et de contrôle de données, technologie informatique industrielle pour la télémesure, ndlr).

Contrôle des sites d'importance vitale ?

Le SBU n'a pas précisé si le VPNFilter découvert dans la centrale de filtrage des eaux avait pu télécharger ses "modules d'attaque" ou non. Ces modules étaient stockés sur plusieurs serveurs dont les noms de domaines ont été désactivés à la demande du FBI, dès la découverte du malware en mai dernier. Il n'en reste pas moins que logiciel malveillant a pu s'installer sur un centre d'importance vitale, la "Aul Chlorotransfer Station" ukrainienne, et était peut-être en état de nuire. Une autre attaque, en 2016 avait affecté plusieurs sites industriels du pays dont des centrales électriques à l'aide d'un autre malware, nommé BlackEnergy, et potentiellement programmé… par la même équipe de spécialistes. Dans le cas de VPNFilter, la Russie est encore une fois pointée du doigt par la justice américaine qui estime que le groupe APT28 connu aussi sous le nom de Fancy Bear — composé de spécialistes de l'armée russe — serait à l'origine de ce programme malveillant. 

IoT ou IoV ?

Au delà de la Russie et des ses équipes de militaires-pirates informatiques, c'est l'Internet des Objets qui commence à être mis en cause dans ces multiples affaires de malware s'attaquant à des sites industriels : VPNFilter s'installe sur des matériels équipés de BusyBox, un gestionnaire en ligne de commande très utilisé pour les objets connectés, telles les "Box" de la plupart des fournisseurs d'accès Internet en France.

La propagation de VPNFilter sur 500 000 matériels connectés inquiète la plupart des spécialistes en sécurité, qui en sont venus à renommer — par dérision — l'IoT en IoV : Internet of Vulnerability (Internet des Vulnérabilités). VPNFilter aurait pu déclencher une catastrophe sanitaire en Ukraine, et sachant que le malware est encore présent sur des centaines de milliers de machines, rien ne permet d'être rassuré sur son utilisation future, ou celle de ses successeurs. En gardant à l'esprit que le nombre d'objets connectés au réseau Internet était estimé à 15 milliards il y a un an et qu'il devrait être de 60 milliards en 2020…