Les lumières se sont d’abord éteintes à Milan, puis Stockholm, Paris et Berlin. Et c’est finalement toute l’Europe qui a plongé dans le noir en plein hiver, victime d’un effondrement du réseau électrique. Plus de chauffage ni de réseau mobile, des gens coincés dans les ascenseurs ou pris au piège dans le métro. Très vite, des drames : accidents de la circulation, départs de feu, centrales nucléaires hors de contrôle et hôpitaux à court de générateurs. Et pour finir, le chaos, avec des coups d'Etat un peu partout sur le continent.
Une gigantesque panne d’électricité provoquée par une cyberattaque, voilà ce qu’a imaginé Marc Elsberg dans son roman Blackout. Demain il sera trop tard. A sa sortie en 2012, ce thriller a été salué pour la rigueur de sa documentation technique, les lecteurs se félicitant toutefois qu’un tel scénario catastrophe ne puisse se produire dans le monde réel. Heureusement, tant nous dépendons des électrons pour gérer l’eau potable, faire fonctionner les transports, les communications, les transactions financières, et même approvisionner les magasins.
Une première cyberattaque officielle en Ukraine en 2015
La réalité a pourtant fini par rejoindre en partie la fiction. En décembre 2015, l’Ukraine a subi la première cyberattaque réussie et reconnue de l’Histoire contre un réseau électrique. Un logiciel malveillant attribué à la Russie, BlackEnergy, a été activé dans les réseaux de trois opérateurs, privant de courant 225000 habitants pendant plusieurs heures, dans l’Est du pays. Depuis, des versions de plus en plus perfectionnées de ces codes destructeurs ont continué de circuler. Elles ont plongé dans le noir les habitants de Kiev en décembre 2016. Et mis hors jeu le réseau d’une ville ukrainienne proche de la frontière russe au moment où elle était bombardée par Moscou, en octobre 2022. Aucune tentative de sabotage aussi agressive n’a encore été détectée en France. Ce qui n’empêche pas notre pays de se préparer à cette éventualité.
Car la pression monte sur le secteur énergétique, d’après le groupe Thales, spécialiste en cybersécurité. Ses différents centres de contrôle dédiés à la surveillance d’infrastructures critiques dans le monde lui permettent de prendre la mesure de la menace. Le secteur énergétique a attisé la convoitise de 58 groupes cybercriminels actifs ayant mis au point 86 logiciels malveillants ces six dernières années.
5 000 vulnérabilités en vente sur le dark web
Avec quelques victimes françaises à déplorer. Comme l’Office d'équipement hydraulique de Corse ou le spécialiste des réseaux électriques basse tension Socomec, attaqués par un rançongiciel, respectivement en 2022 et 2023. D’autres pourraient suivre. «Nous allons bientôt publier un avis sur 34000 failles de systèmes informatiques trouvées au cours de l’année 2024», prévient Ivan Fontarensky, directeur technique Cyberdéfense et menace intelligente chez Thales (Directeur Technique Lutte Informatique). «10 000 d’entre elles sont critiques et la moitié pourraient être appliquées dans le domaine énergétique, même si elles sont génériques. Un chiffre en constante hausse depuis 2015», précise-t-il. Cela signifie que les entreprises françaises du secteur vont devoir se protéger le plus rapidement possible de ces 5000 vulnérabilités déjà en vente sur le dark web, prêtes à l’emploi.
Pas de quoi faire tomber le réseau électrique français, direz-vous peut-être. De telles attaques peuvent effectivement être contrées simplement en déployant les correctifs des éditeurs de logiciels. «90% d’entre elles sont mineures. Le problème, ce sont les 10% restantes, beaucoup plus sophistiquées», alerte Ivan Fontarensky. EDF, producteur de 92% de l’électricité nationale, confirme. «Nous subissons environ un million de tentatives chaque année. La plupart contrée automatiquement. C’est l’équivalent d’une personne qui passerait devant un bâtiment pour voir si les portes sont ouvertes», explique Olivier Ligneul, directeur cybersécurité du groupe. Et puis, il y a les attaques qui passent le premier tamis. «Là, nous faisons intervenir nos experts cyber pour les contrer. Cela concerne entre 350 à 400 incidents par an».
Les centrales d'EDF se pilotent localement
Dans le cas où des pirates parviendraient tout de même à pénétrer le système informatique, ils ne pourraient pas utiliser cet accès pour contrôler l'outil industriel : les deux dispositifs sont en effet isolés. Si les équipes d’exploitation d’EDF reçoivent des ordres de production au niveau national, elles actionnent et surveillent les centrales localement. Elles s’appuient pour cela sur un système de téléconduite qui n’est pas informatisé. «Nous utilisons un réseau de diodes pour séparer les flux d’informations. Ces composants permettent de transmettre les signaux dans une seule direction, en se préservant de toute intrusion. Impossible d’accéder à cet environnement sans y être présent physiquement», précise encore Olivier Ligneul.
Pour autant, c’est ceinture et bretelles chez EDF. En plus de ses propres centres de contrôle, l’énergéticien fait appel à un prestataire de détection d'intrusion de sécurité qualifié par l’Agence nationale de la sécurité des systèmes d’information (Anssi) pour surveiller 24 heures sur 24 son environnement industriel et les parties les plus sensibles de son système informatique.
Le transport et la distribution d'électricité plus vulnérables
Finalement, la production d’électricité d’EDF paraît plus facile à protéger que le transport de l’électricité par les lignes à haute et très haute tension géré par sa filiale RTE (Réseau de transport d'électricité). Ou que sa distribution au domicile des consommateurs par Enedis. Curieux paradoxe. «Le transport et la distribution sont moins critiques qu’une centrale nucléaire, mais comme ils se sont fortement numérisés et ouverts vers l'extérieur, ils sont devenus plus vulnérables», résume Benoît Grunemwald, porte-parole et directeur des affaires publiques de l’éditeur de cybersécurité slovaque Eset. Le sujet est tellement sensible que RTE a refusé catégoriquement de répondre à nos questions. Pas simple en effet, pour lui, de sécuriser totalement des postes électriques bourrés de capteurs et connectés à Internet par la fibre optique. Si ces deux dispositifs lui permettent de remonter des informations en temps réel sur tout le réseau pour mieux le piloter, cela augmente aussi sa vulnérabilité aux attaques. De son côté, Enedis a installé des compteurs communicants Linky dans tous les foyers, afin de relever leur consommation à distance et détecter des incidents. Des boîtiers passés au crible et certifiés par l’Anssi. Mais le risque zéro n’existe pas et il reste possible qu’ils puissent servir, un jour, de point d’entrée à des attaquants.
Des hackers spécialisés dans les systèmes industriels
Au reste, les systèmes de gestion de l’énergie s’appuient sur des logiciels et des protocoles de communication standard dont les cybercriminels de toute la planète peuvent facilement détecter les fragilités. Cela a permis à des groupes de pirates numériques sponsorisés par des Etats comme la Chine, la Corée du Nord ou l’Iran de se spécialiser dans les systèmes industriels. Mais en matière d’électron, les plus experts restent les Russes. Il faut dire qu’ils ont eu le temps de s’entraîner depuis presque dix ans qu’ils s’escriment à pirater le système électrique ukrainien. La palme revient sans aucun doute à Sandworm dont les virus sont capables de cibler spécifiquement le protocole de communication IEC-104, servant à collecter et contrôler des données de réseaux énergétiques. Il est notamment utilisé par … RTE.
Citons aussi Berserk Bear, parfois appelé Dragonfly 2.0, coupable d’avoir mené des campagnes d’infiltration contre des fournisseurs d’électricité, ainsi que des entreprises pétrolières et gazières. Il aurait réussi à endommager des installations en Allemagne et aux Etats-Unis en 2018. La justice américaine offre de juteuses récompenses pour toute information concernant ses membres les plus éminents. Jusqu’à 10 millions de dollars pour Marat Valeryevich Tyukov, par exemple, également agent du renseignement russe (FSB).
Des méthodes de plus en plus sophistiquées
Les modes opératoires de ces assaillants, la société de cybersécurité Mandiant, filiale de Google, les a scrutés en détail. «Une fois l’attaque lancée, ils sont capables de faire croire à un opérateur que tout fonctionne normalement sur son poste, en masquant des perturbations en arrière-plan comme l’arrêt de la production d’énergie», nous raconte depuis Londres John Hultquist, analyste en chef.
Mais ce qu’il a vu de plus effrayant ces dernières années, c’est le logiciel malveillant Triton, capable de désactiver les systèmes de sécurité d’une installation industrielle critique et même de provoquer une explosion. Il avait été découvert juste à temps dans une raffinerie saoudienne en 2017. Parfois, les cybercriminels parviennent même à se servir des outils déjà présents dans le système pour le perturber, sans activer de virus. Ce qui les rend d’autant plus difficiles à repérer.
Notre réseau électrique est résilient
Si ces as de la cybercriminalité devaient un jour attaquer la France, ils tenteraient probablement de surcharger une ligne électrique pour entraîner des pannes en cascade. Sans viser nécessairement un effondrement du réseau. «C'est une chose de provoquer une panne, c’en est une autre d’empêcher le système électrique de se reconnecter. Il est construit de telle sorte qu’il y a beaucoup de redondances et cela le rend résilient», souligne John Hultquist. L’incident ne serait donc que temporaire. «Ces attaques sont essentiellement psychologiques, conçues pour faire peur aux populations et envoyer un signal au gouvernement sans déclencher une troisième guerre mondiale. Comme des troupes se massant à une frontière, par exemple», analyse l’expert de Mandiant.
C’est exactement ce qui s’est passé le 2 mars dernier. La chaîne Telegram CyberArmyofRussia_Reborn s’est vantée ce jour-là d’avoir piraté la centrale hydroélectrique de Courlon-sur-Yonne, au sud-est de Paris. Une vidéo de l’infrastructure filmée par drone a été postée en ligne, suivie d’une démonstration de prise de contrôle du logiciel ouvrant les vannes. Un montage truqué en réalité. Car c’est un petit moulin de Courlandon, un village de 300 habitants, qui a été piraté. Et l’eau n’y était montée que de vingt centimètres.
Semer le trouble et effrayer la population
Pourquoi une manipulation aussi grossière ? A peu près à la même période, le même compte CyberArmyofRussia a revendiqué l’attaque de plusieurs services publics d’eau américains au Texas, ainsi que d’une usine de traitement des eaux usées polonaise. «Certains groupes de hackers se vantent de telle ou telle action, les exagèrent, et parfois même n’en sont pas les auteurs. Tout ça dans une sorte de jeu d’influence, de sorte à obtenir des contrats du Kremlin ou à gonfler les prix de leurs prestations», analyse Julien Nocetti, chercheur associé au centre de géopolitique du numérique Geode. Et cela brouille la lecture de ce type d’incidents, même pour nos services de renseignements. «L’un des grands avantages de l'outil cyber, c'est de créer une confusion permanente pour nous empêcher de savoir qui est réellement à l’origine des actions et jusqu’à quel stade l’acteur est prêt à aller», fait observer le géopolitologue.
Les opérations les plus spectaculaires ne sont pas forcément les plus inquiétantes. Une cyberattaque sophistiquée du réseau électrique ne s’improvise pas. Cela coûte cher et se prépare longtemps à l’avance. Comme le célèbre ver informatique Stuxnet conçu par les services américains et israéliens pour perturber le programme nucléaire iranien. Découvert en 2010 après avoir endommagé des centaines de centrifugeuses destinées à enrichir de l’uranium, il aurait été introduit un an auparavant et nécessité des années de mise au point. Peut-être au moment où nous écrivons ces lignes, des puissances étrangères mal intentionnées sont-elles en train d’avancer leurs pions en silence, posant ici ou là des accès dormants partout en Occident, y compris en France, dans l’objectif de les activer pour provoquer, des mois plus tard, une panne électrique. Reste à connaître l’ampleur de celle-ci…
L’énergie, un secteur très protégé en France
Les systèmes d’information des réseaux électriques et des centrales sont soumis à des règles strictes de cybersécurité depuis la Loi de Programmation Militaire de 2013. L’Agence nationale de la sécurité des systèmes d’information (Anssi) accompagne et contrôle plus de 200 opérateurs d'importance vitale (OIV) tous secteurs confondus du public et du privé. EDF, RTE, Enedis, Engie ou TotalEnergies en font partie. La directive européenne Network and Information Security (NIS) de 2016, transposée au niveau national en 2018, a étendu le principe à une liste d’acteurs plus nombreux dits essentiels. Le deuxième volet, NIS 2, entre en ce moment en vigueur. Il va encore plus loin et concerne désormais 1500 entités en France.
- Accès à tous les articles réservés aux abonnés, sur le site et l'appli
- Le magazine en version numérique
- Navigation sans publicité
- Sans engagement
