Analyse

Une centrale nucléaire volontairement compromise en Inde ?

Le 19 novembre 2019 par Noufelé Tatou

Des informations ont émergé fin octobre 2019 à propos d’une possible attaque informatique à l’encontre de la centrale nucléaire indienne KKNPP (Kudankulam Nuclear Power Plant). La centrale aurait été compromise par un malware d’origine inconnue.

Tout commence sur Twitter le 28 octobre 2019. Un utilisateur du nom de Pukhraj Sing, expert en « cyber threat », prétend avoir alerté les autorités compétentes à propos d’un accès de niveau « Domain controller* » (contrôleur de domaine) par un programme espion qui se serait établi dans le système informatique de la centrale depuis déjà plusieurs mois. Il affirme que la brèche aurait impacté des cibles extrêmement critiques du site.

À la suite de la propagation de ce tweet à travers le pays, des explications sont demandées aux entités responsables, notamment dans la sphère politique. Cette affaire pourrait en effet relancer un débat public ayant pour fond la sûreté nationale indienne. La Corporation de l’Energie Nucléaire Indienne (NPCIL) réagit par l’intermédiaire de R. Ramdoss, responsable de formation et délégué à la gestion de l’information. Le 29 octobre, paraît un communiqué qui nie toute possibilité d’attaque informatique sur les infrastructures de la centrale. Cette affirmation repose sur le fait que les machines qui contrôlent les infrastructures critiques sont totalement isolées d’internet. 

Cette communication se révèle quelque peu maladroite mais pas complètement mensongère. Les analyses et recherches qui seront effectuées à posteriori démontreront que la machine infectée était connectée à internet pour des raisons administratives et se trouvait sur un réseau séparé des infrastructures critiques de la centrale nucléaire. En effet, ces dernières ne sont pas connectées à internet. Le seul moyen pour ce malware de s’introduire dans le réseau « standalone » (indépendant) de la centrale aurait été de l’y installer physiquement, par exemple via une clé USB.

À la suite de l’annonce de l’attaque, de nombreux experts du domaine s’emparent du débat, notamment sur Twitter. L’hashtag #KKNPP émerge le jour même de l’annonce. Les critiques sur les réseaux sociaux pleuvent à l’encontre du management de l’affaire. Le NPCIL publie alors un deuxième communiqué le 30 octobre. Plus réaliste cette fois, l’attaque est confirmée. L’institution affirme avoir pris les précautions qui s’imposaient dès le 4 septembre, date à laquelle Pukhraj Sing rapportait les éléments de sa connaissance. Le communiqué fait état des moyens mis en œuvre pour analyser les origines de l’attaque, quantifier les dégâts et empêcher la reproduction d’un tel scénario. L’apparente contradiction avec la précédente déclaration n’échappe cependant pas aux internautes et aux citoyens qui y réagissent vigoureusement. 

Ces problèmes de communication interne entre les différents acteurs de la sécurité de la centrale ont abouti à une situation de crise au sein du gouvernement indien. La précipitation des responsables dans leur gestion de la communication l’a aggravée : preuve de cette précipitation, le premier communiqué cité plus haut n’est plus disponible sur le site internet de la NPCIL.

Les moyens d’analyse mis en œuvre pour trouver l’origine de l’attaque aboutissent à l’identification du programme malveillant : c’est un virus baptisé « DTrack » par ses créateurs. Il est répertorié comme un « Remote Administration Tool » (RAT). Ce type de programme permet à l’attaquant de gagner le contrôle total de la machine ciblée. Cependant, l’objectif de cette attaque est probablement ailleurs. Des professionnels de la sécurité informatique ont constitué une infographie qui montre les données auxquelles le programme a pu avoir accès. Parmi lesquelles on retrouve adresses IP, MAC (adresse physique d’une machine), historiques de navigation, cookies et liste des fichiers des disques durs présents, entre autres choses. Le RAT permet aussi d’uploader des fichiers sur un serveur à distance depuis la machine cible ou bien d’installer d’autres programmes malveillants comme un enregistreur de frappes ou « keylogger ». 

Même si l’attaque n’a pas de conséquences directes en termes de sécurité des installations, il reste difficile d’avoir une idée précise des informations obtenues par les pirates informatiques. Une simple photo permet d’identifier le modèle exact d’un équipement et cette information permet potentiellement de le faire dysfonctionner. L’exemple de l’espionnage et de l’infection de systèmes industriels par le ver Stuxnet de 2010 en est la preuve. Dans ces conditions, comment assurer la sécurité à long terme de la centrale ? Cette situation pose des questions réelles de sûreté intérieure pour l’Inde et devrait exhorter les gouvernements des pays possédant des centrales à la plus grande vigilance.

Enfin, les questions de l’identité des attaquants et de leurs motivations demeurent ouvertes. A l’heure actuelle, il n’y a pas de preuve tangible permettant l’identification d’un individu ou d’une entité. Aucun groupe connu n’a revendiqué l’opération. L’éditeur d’antivirus Kaspersky a noté que les méthodes employées ne sont pas sans rappeler la « Dark Seoul campaign » imputée au groupe de pirates informatiques nord-coréens Lazarus. Mais il est encore trop tôt pour lancer des accusations. Un mois avant l’attaque, Kaspersky mentionnait DTrack dans un article de blog et son implication dans d’autres offensives visant les institutions financières indiennes, il est possible que les attaques soient liées.

Les dégâts infligés par le virus sont peu connus à ce jour et il faudra encore attendre pour comprendre les implications réelles de cette affaire. Si des informations compromettantes ont pu être récupérées par les pirates, il est possible qu’elles se retrouvent dans le futur sur le deep et le dark web. Un scénario dans lequel les pirates sont mandatés par un Etat étranger, si preuve en est faite dans le futur, pourrait engendrer une crise diplomatique sans précédent.

*Domain Controller : serveur d’authentification garantissant l’accès à certaines ressources et gérant les permissions spécifiques à chaque utilisateur connu.

 

Noufelé Tatou pour le Club Cyber