La scène se passe en mars 2007 dans l’état américain de l’Idaho. Un hacker malintentionné se fraie un chemin dans le réseau relié à un générateur électrique de taille moyenne qui produit du courant alternatif. Le principe de la machine est simple : plusieurs dizaines de fois par seconde (60 aux Etats-Unis, 50 en France), le flux d’électrons va dans un sens puis dans un autre (d’où le nom d’alternateur). L’alternateur doit être parfaitement synchronisé avec le réseau électrique. En envoyant une rafale de commandes de coupures et de reprises aux disjoncteurs de la machine, le hacker la désynchronise. Le courant produit ne va plus dans la même direction que celui du réseau et cela revient un peu à passer la marche arrière alors que vous roulez sur l’autoroute. Ce qui suit, la bataille perdue de l’alternateur contre le réseau, a été filmé par une caméra. On y voit le générateur de plusieurs tonnes agité de soubresauts. Des morceaux de pièces tombent sur le sol. Puis de la vapeur et des fumées noires s’en échappent. Hors service. La scène a été filmée. La vidéo, d’abord tenue secrète, a été ensuite déclassifiée. La voici :
En réalité, le hacker en question n’était autre qu’un chercheur travaillant dans le cadre, contrôlé, d’un exercice de sécurité, le projet Aurora, réalisé au Idaho National Laboratory. On peut dire que le test a été concluant. On a l’habitude de voir les hackers s’en prendre à des systèmes virtuels. L’actualité nous le rappelle tous les jours : le 12 juin, c’est le site Internet de la police espagnole qui a été pris pour cible, juste après que le FMI eut concédé avoir été victime d’une cyberattaque. Comme l’explique, dans un article paru dans le numéro du Scientific American publié ce mardi 14 juin, David Nicol, directeur de l’Information Trust Institute à l’université de l’Illinois où il enseigne aussi, les systèmes physiques sont désormais à la portée des pirates de l’informatique, car tous sont commandés à distance par informatique. Après le projet Aurora, le meilleur exemple en a été donné par le ver informatique Stuxnet qui, en 2009-2010, a visé le programme nucléaire iranien. Selon un rapport publié en décembre 2010 par l’Institute for Science and International Security, l’Iran a dû remplacer un millier de centrifugeuses servant à enrichir de l’uranium car Stuxnet les aurait détruites en leur commandant subrepticement de tourner trop vite…
Dans son article, David Nicol dresse la longue liste des faiblesses du système de production et d’approvisionnement en électricité et souligne combien est dépassée l’assurance que le système ne craint rien parce qu’il n’est pas connecté à Internet. De multiples points d’entrée sur le réseau électrique existent et, comme Stuxnet l’a montré, il suffit de brancher une clé USB infectée à un ordinateur pour qu’un logiciel malveillant très bien élaboré aille silencieusement chercher les failles du système tout en lui faisant croire que tout est sous contrôle. Le projet Aurora s’est glissé dans la brèche au niveau de l’alternateur mais on peut aussi s’attaquer aux postes de transformation, aux postes de distribution ou aux stations de contrôle. De quoi reproduire le film d’action Die Hard 4 – Retour en enfer… David Nicol raconte ainsi un autre exercice de simulation réalisé en 2010, au cours duquel la cible était constituée de postes de transformation qui, comme le dit de manière très pédagogique EDF sur son site Internet, “sont des lieux fermés et commandés à distance à partir de postes principaux, appelés Pupitres de Commandes Groupées”… sauf quand quelqu’un d’autre prend les commandes. L’exercice fut une “réussite” en ce sens que tout un état de l’Ouest américain fut virtuellement privé d’électricité pour plusieurs semaines. Bruce Willis n’est pas toujours là…
A travers l’exemple du réseau électrique, c’est la fragilité de tout réseau informatique (qu’il soit ouvert ou fermé) qui est mise en lumière. Leon Panetta ne s’y est d’ailleurs pas trompé. Celui qui est actuellement directeur de la CIA et remplacera prochainement Robert Gates au poste de secrétaire de la défense vient de déclarer devant une commission sénatoriale que “le prochain Pearl Harbour auquel nous seront confrontés pourrait très bien être une cyberattaque” visant les réseaux de sécurité, financiers ou électriques. Jusqu’ici réservée aux scénarios de films-catastrophes ou de science-fiction, la prise de contrôle à distance d’une centrale nucléaire par un groupe terroriste s’approche lentement mais sûrement du domaine du possible. Pour avoir un Fukushima, plus besoin d’un tsunami, une clé USB pourrait suffire.
Mais il y a plus effrayant encore. Un article de recherche publié par feu la Commission internationale sur la non-prolifération et le désarmement nucléaires s’est intéressé à la possibilité de pirater les systèmes de commandes nucléaires. L’auteur, Jason Fritz, reconnaît que les sécurités mises en place sont énormes, redondantes, extrêmement robustes, mais il n’en ajoute pas moins qu’une menace subsiste toujours : “Une cyberattaque réussie nécessite de ne trouver qu’une seule faiblesse tandis qu’une cyberdéfense réussie nécessite de trouver toutes les faiblesses possibles. Alors que des individus plus jeunes et plus doués en informatique sont recrutés parmi les rangs des terroristes, ils pourraient commencer à reconnaître le potentiel de ce type d’attaque.” En clair, au lieu d’essayer de fabriquer une bombe ou d’en acheter une, pourquoi ne pas pousser un Etat nucléaire à en envoyer une ? Il serait évidemment impossible de pirater les codes d’attaque de Barack Obama ou de Nicolas Sarkozy. Mais, écrit Jason Fritz, “malgré les affirmations selon lesquelles les ordres de tir nucléaire ne peuvent venir que des plus hautes autorités, de nombreux exemples montrent la possibilité de contourner la chaîne de commandement et d’insérer ces ordres à des niveaux plus bas. Des cyberterroristes pourraient aussi provoquer un tir nucléaire en imitant les systèmes d’alarme et d’identification ou en endommageant les réseaux de communication.”
Pierre Barthélémy
lire le billet
Derniers commentaires