Début novembre, une station de pompage d’eau s’est arrêtée toute seule dans l’Illinois. Ce n’était pas une panne. La police pense plutôt qu’un pirate informatique s’est amusé à prendre le contrôle à distance. Qu’en est-il des réseaux électriques ? Une telle attaque serait-elle envisageable ?
La sécurité des systèmes informatisés impliqués dans le transport de l’électricité sont l’objet de toutes les attentions de la part des gestionnaires du réseau et des services de sécurité français, européens et américains.
Ces systèmes, baptisés « Scada » (pour Supervisory Control and Data Acquisition), permettent de commander à distance les boîtiers de contrôle des installations : les alternateurs dans les usines de production, les transformateurs sur le trajet des lignes à haute tension, etc.
Habituellement, les systèmes Scada permettent aux équipes d’intervenir rapidement pour maintenir le réseau en bon état. Mais s’ils tombent entre de mauvaises mains, ils peuvent au contraire devenir des armes. Un salarié mécontent pourrait s’en servir pour exercer sa vengeance, une bande de malfaiteurs pourrait couper l’électricité dans toute une région et exiger une rançon, comme dans Die Hard 4.
Un cyber-pirate à l'oeuvre dans Die Hard 4
En 2007, une simulation de cyber-attaque a été conduite aux États-Unis dans le cadre d’un exercice baptisé Aurora. L’idée était d’inverser à distance la commande de synchronisation du courant alternatif entre un alternateur et le réseau électrique. Le résultat montre la vulnérabilité des installations. L’alternateur est détruit :
Plus grave encore, un ennemi stratégique pourrait s’emparer des commandes du réseau électrique d’un pays pour y semer la panique, de façon coordonnée avec une attaque militaire. Des officiels américains ont cru détecter les préparatifs pour une attaque de ce type en 2009, et ont accusé officieusement la Chine et la Russie.
Les installations les plus sensibles peuvent être ciblées. En Iran par exemple, un virus a pu détruire les centrifugeuses du programme de recherche nucléaire le plus secret du pays pendant l’été 2010, alors même qu’elles n’étaient évidemment pas connectées à Internet. Le code malicieux, Stuxnet, s’était tout simplement propagé à partir d’une clé USB.
Dans ces conditions, la protection du réseau électrique est une priorité nationale. Les cibles sont nombreuses : les transformateurs par exemple. Ils produisent de l’électricité à basse tension à proximité des clients et sont parfois anciens et rudimentaires en termes de sécurité. Ils peuvent être commandés par radio ou fonctionner avec des modems, faciles à pirater. Une attaque coordonnée sur plusieurs d’entre eux pourrait faire disjoncter la ligne à haute tension et plonger dans le noir toute une région.
Aux États-Unis, le ministère de l’Energie a publié en Septembre une mise à jour de ses recommandations de sécurité. Pour l’Europe, ce sont d’une centaine d’experts en informatique de 20 pays qui ont effectué début novembre un exercice de simulation : Cyber Atlantique 2011. Le scénario envisagé comprenait l’attaque de centrales nucléaires, et permettait de préparer la riposte. Il a été mené de concert avec les Américains, fournisseur important d’équipements et de logiciels SCADA pour l’Europe.
Evidemment, les résultats de ces exercices ne seront pas rendus publics ! Mais il est plutôt rassurant de constater que ces risques majeurs sont pris au sérieux.
Et puis, en cas de problème, on pourra toujours appeler Bruce :
Remonter à la source :
U.S. Department of Energy Releases Cybersecurity Roadmap Update 9/2011
First joint EU-US cyber security exercise conducted 3rd Nov. 2011