Pourquoi 700 000 foyers ukrainiens ont-ils été privés d'électricité pendant plusieurs heures fin décembre ? Il pourrait bien s'agir du premier cyber-sabotage réussi contre le réseau électrique d'un pays. Plusieurs sociétés de sécurité ont rendu publiques, ces derniers jours, des études qui le laissent supposer.

Le 23 décembre 2015, les installations de la société Prykarpattyaoblenergo, qui alimente en énergie notamment une partie de la région d’Ivano-Frankivsk, n'ont plus répondu pendant plusieurs heures. La population alentour s'est alors retrouvée plongée dans le noir. Très rapidement, les autorités ukrainiennes ont pointé du doigt des pirates informatiques à la solde de la Russie, le géant voisin avec lequel Kiev se trouve en conflit ouvert.

L’ombre du "scénario catastrophe"

Les accusations contre Moscou ont gagné en crédibilité début janvier lorsque plusieurs sociétés de sécurité informatique ont obtenu un bout de code malicieux (similaire à un virus) qui avait été retrouvé dans le circuit informatique de Prykarpattyaoblenergo. "Cela confirme au moins qu’une attaque a été menée contre ces installations de production d’énergie", assure à France 24 Loïc Guézo, expert du cercle des Assises de la sécurité.

Mais cette découverte ne prouve pas que les pirates ont pris le contrôle à distance du réseau électrique de cette partie du pays. L’hypothèse du sabotage informatique d’une infrastructure vitale est "le scénario catastrophe que tout le monde redoute, mais en l’occurrence on ne sait pas encore si les autorités ayant découvert la présence d’un virus n’ont pas préféré éteindre préventivement le courant pour s’occuper du problème", explique Loïc Guézo.

Dans les deux cas, cependant, le logiciel malveillant a eu - directement ou non - l'effet escompté. Pour Tewfik Megherbi, consultant pour la société de sécurité informatique F5 Network, cette attaque est à mettre en parallèle avec le virus Stuxnet qui, en 2010, avait permis de ralentir le programme nucléaire iranien : c’est une nouvelle démonstration que les cyberassaillants "peuvent endommager des systèmes industriels sensibles", affirme-t-il. La grande différence avec l’épisode Stuxnet est que l’opération contre les installations électriques ukrainiennes a eu un effet immédiat sur la population en la plongeant complètement dans le noir.

La piste russe

Reste à savoir qui se trouve à l’origine de cette panne géante. Certes, imputer une attaque informatique est un exercice délicat tant les moyens de se dissimuler ou de brouiller les pistes sont nombreux dans le cyberespace. Mais un faisceau d’indices accrédite la piste russe. Cette opération intervient en effet dans un contexte "de 'cyber pressions' contre l’Ukraine par des cyberpirates pro-russes identifiés", rappelle Loïc Guézo.

Ainsi, le groupe de hackers russes Pawn Storm mène depuis plus d’un an des actions de cyberespionnage contre le personnel militaire et politique ukrainien, selon une étude de la société de sécurité informatique japonaise Trend Micro.

Les auteurs de l’opération du 23 décembre en Ukraine ont également utilisé une version modifiée d’un logiciel malveillant connu depuis 2007, appelé BlackEnergy, qui a déjà servi à des pirates informatiques russes. Le groupe pro-russe SandWorm est soupçonné d’avoir piraté les serveurs de l’Otan en octobre 2014 en utilisant ce même virus, rappelle la société slovaque de sécurité informatique Eset. "SandWorm est aussi connu pour s’attaquer aux installations industrielles", ajoute Loïc Guézo.

La réussite de l'attaque contre le réseau électrique - si elle est avérée et son origine russe définitivement établie - marque un virage notable dans le conflit qui oppose les deux pays. Jusqu'à présent, les cyberassaillants se concentraient sur des cibles bien identifiées. L'opération du 23 décembre semble, elle, avoir eu pour but de semer le chaos.