Infrastructures énergétiques et pirates informatiques : Un nouveau champ de bataille
Par Danny Gagné
Chroniques des nouvelles conflictualités - Chaire Raoul-Dandurand
Pour consulter la version pdf de ce texte
Le réseau électrique américain a été la cible d’une cyberattaque de grande envergure en 2019. Les États-Unis et le Canada sont-ils à l’abri d’une offensive qui plongerait nos sociétés dans le noir en un clic de souris ?
En mars 2007, le Idaho National Laboratory conduisit une simulation — le Aurora Generator Test — démontrant comment une cyberattaque pouvait mettre hors service un générateur diesel. L’expérience, qui consistait à faire exploser un disjoncteur à distance en utilisant un programme informatique espion, visait à sensibiliser le Department of Homeland Security (DHS), responsable de la sécurité intérieure des États-Unis, à la vulnérabilité du réseau électrique américain. Les résultats du test furent critiqués et le scepticisme ambiant provoqua graduellement l’abandon des recommandations reliées à celui-ci.
Douze ans plus tard, le rappel à l’ordre fut brutal. Au mois de mars 2019, les États-Unis furent touchés par la plus grande attaque jamais enregistrée sur leur réseau électrique. Et fin novembre, on apprenait que de nombreuses infrastructures clés avaient été visées tout au long de l’année. De plus, certaines intrusions auraient même pu affecter directement le Canada, étant donné la forte intégration canado-américaine sur le plan énergétique. Que sait-on exactement de ces actes malveillants pouvant déstabiliser la chaîne d’approvisionnement énergétique américaine ?
Le talon d’Achille du colosse américain ?
En octobre 2019, le « post-mortem » de la North American Electric Reliability Corporation (NERC) faisait le point sur une intrusion dans les systèmes informatiques de plusieurs centres de contrôle de stations électriques de l’ouest des États-Unis. Tout au long de la journée, les systèmes de communication de postes de contrôle interreliés furent coupés pendant des périodes de quelques minutes. La cause était toute simple. Des pirates avaient eu accès au système informatique de ces stations et désactivaient les pare-feux à répétition, ce qui provoquait un redémarrage et une coupure du réseau.
Bien qu’anodine en apparence, et sans grandes conséquences, l’attaque montra le faible niveau de protection de ces infrastructures, pourtant critiques. Même si les stations visées étaient d’importance secondaire, ce sont justement celles qui ont le moins les moyens de se défendre contre ce genre d’attaques.
En novembre dernier, on apprenait par ailleurs que des infrastructures beaucoup plus importantes furent touchées entre le 5 avril et le 29 août 2019. Les attaques visaient les systèmes électriques de 18 États, notamment le Maine et le Michigan qui partagent une frontière avec le Canada. Certaines de ces installations jouent un rôle critique dans nos sociétés, dont la centrale électrique Klickitat Public Utility District, située près de grands barrages fédéraux américains et de lignes de transmission qui approvisionnent la Californie en électricité.
Si la prolifération de ces attaques est pour le moins inquiétante, la simplicité des moyens utilisés l’est encore plus. En effet, les pirates qui ont perpétré ces intrusions ont eu recours à des courriels d’hameçonnage, soit l’envoi de messages frauduleux servant à avoir accès aux postes de travail d’employés. Une fois le courriel ouvert, les pirates peuvent installer un logiciel de « lookback », un programme-espion fonctionnant comme un véritable cheval de Troie, et avoir accès aux fichiers, prendre des captures d’écran, s’emparer du contrôle de la souris, redémarrer le système et ultimement supprimer le logiciel lui-même afin d’effacer les traces d’intrusion.
D’où vient la menace ?
Pour l’instant, les autorités américaines n’ont pas officiellement attribué la responsabilité de ces attaques à quiconque. Certaines sources à l’intérieur du Department of Homeland Security (DHS) pointent cependant le doigt en direction de la Chine et de la Russie. Le DHS avait d’ailleurs enquêté en 2018 sur l’envoi de courriels frauduleux à des employés de sous-traitants effectuant des travaux sur des infrastructures électriques américaines. Des pirates se faisant passer pour diverses agences gouvernementales, comme le U.S. National Council of Examiners for Engineering and Surveying, cherchaient à identifier les employés ayant des contacts avec leurs homologues travaillant au sein d’infrastructures critiques liées au réseau électrique de plusieurs États américains. Les informations, notamment la liste des contacts des employés, étaient ensuite utilisées pour envoyer, par exemple, de faux dossiers de candidature, dont les curriculums vitae joints contenaient des logiciels espions malveillants. La stratégie insidieuse permettait ainsi aux pirates d’opérer sans trop attirer l’attention, ceux-ci attaquant parfois des entreprises de moins de 20 employés.
D’autres spécialistes ont une vision moins alarmiste des évènements de 2019. Selon Reid Wightman, analyste senior en cybersécurité de la firme Dragos Inc., les attaques seraient attribuables soit à un logiciel automatisé scrutant le web à la recherche de systèmes vulnérables ou à un « script kiddie », un hackeur novice. L’entreprise de sécurité Proofpoint continue malgré tout d’entretenir le doute quant à une implication gouvernementale de pays comme la Chine ou la Russie. L’utilisation de courriels frauduleux pour mener une véritable campagne de reconnaissance pour identifier de futures cibles, et la presque exclusivité des attaques touchant des entreprises reliées de près ou de loin au fonctionnement des infrastructures énergétiques américaines, en seraient la preuve.
Les implications pour le Canada
Si les évènements de 2019 ont été circonscrits au territoire américain, le Canada n’est pas à l’abri de ce type d’attaques. Parmi les infrastructures ciblées l’année dernière, on retrouve la Cloverland Electric Cooperative au Michigan, centrale adjacente à l’écluse de Sault-Ste-Marie. L’écluse de Sault-Ste-Marie est un point de passage critique pour les bateaux naviguant entre le lac Supérieur, le lac Huron et le lac Michigan. Le minerai de fer canadien destiné aux fonderies américaines transite également par cette écluse. Selon Chuck Zane, directeur des technologies de l’information à la centrale de Cloverland, au moins 60 % des courriels reçus par l’entreprise contiennent des logiciels malveillants. Fait rassurant, l’écluse est alimentée par sa propre source d’électricité indépendante.
Les Américains sont cependant de plus en plus inquiets de la vulnérabilité des infrastructures civiles et militaires canadiennes. En mars 2016[1], l’Amiral William Gourtney, qui commandait alors le North American Aerospace Defense Command (NORAD),[2] avait demandé au chef d’état-major du ministère de la Défense du Canada de faire un inventaire des infrastructures militaires et civiles, notamment les centrales électriques et de traitement des eaux, pour identifier celles étant les plus susceptibles d’être visées par des attaques cybernétiques. Le fait que 10 % de l’énergie consommée aux États-Unis provient du Canada explique cette inquiétude du côté américain.
La surenchère
En juin 2019, on apprenait de la bouche de John R. Bolton, alors conseiller à la sécurité nationale du président Trump, que les États-Unis avaient intensifié leurs stratégies offensives cybernétiques. Des codes informatiques américains avaient été implantés dans le réseau électrique russe en 2018 en vue de riposter à une intrusion orchestrée par Moscou. De plus, on apprenait que le général Paul M. Nakasone, commandant du Cyber Command, la branche du Pentagone responsable des opérations militaires offensives et défensives sur le web, avait obtenu de la part du président un contrôle accru sur les manœuvres cybernétiques. Le mémorandum présidentiel 13 lui donne aujourd’hui le droit d’entreprendre certaines opérations offensives sans l’aval du président.
Comme l’a démontré l’attaque cybernétique de 2015 sur le réseau électrique ukrainien, qui a laissé près de 250 000 consommateurs sans électricité pendant des heures, les infrastructures clés gérées électroniquement apparaissent désormais comme un nouveau champ de bataille potentiel entre États rivaux. Dans un monde dénué d’instances supranationales ayant pour mission de maintenir une forme de paix cybernétique, les simples citoyens et leurs besoins de base sont désormais à risque d’être directement touchés par la « cyberinsécurité ».
Danny Gagné est chercheur à l’Observatoire des conflits multidimensionnels de la Chaire Raoul-Dandurand. Il est également membre de l’Observatoire sur les États-Unis.
[1] Dans une lettre obtenue par CBC en septembre 2019 grâce à la loi sur l’accès à l’information.
[2] Le Commandement de la défense aérospatiale de l'Amérique du Nord est une organisation américano-canadienne dont la mission est la surveillance de l'espace aérien nord-américain
