Une filiale de Schneider Electric se fait dérober des informations
Une filiale du groupe français a averti ses clients - de grands noms de l'énergie - que son réseau avait été pénétré par des pirates. Ceux-ci sont parvenus à dérober des informations concernant des systèmes de contrôle utilisés par les distributeurs d'énergie.
Suite à un article du blogueur Brian Krebs, le groupe français Schneider Electric a confirmé qu'une filiale canadienne du groupe, Telvent Canada, spécialisée dans les systèmes de contrôle industriels des grands de l'énergie (on parle de systèmes Scada), avait été victime d'une attaque ciblée. Telvent, un éditeur espagnol racheté en 2011 par le Français, fournit notamment les systèmes de contrôle de plus de la moitié des pipelines de gaz et de pétrole en Amérique du Nord.
Selon les éléments rassemblés par Brian Krebs, les assaillants, qui seraient un groupe de hackers chinois connu sous le nom de "Comment Group", sont parvenus à dépasser la barrière du pare-feu de Telvent, à investir des pans entiers de son réseau, à y installer des logiciels malicieux afin de dérober des données sur un produit appelé OASyS SCADA et son utilisation dans le cadre de projets menés par des clients de Telvent. Ce produit vise à intégrer les technologies anciennes utilisées par les distributeurs d'énergie avec les smart grids.
Comprendre l'étendue de l'attaque
Toujours selon Brian Krebs, qui publie une lettre envoyée par Telvent à ses clients la semaine dernière, la filiale de Schneider a depuis désactivé tous les liens entre ces derniers et les parties contaminées de son réseau, mis en œuvre des procédures de contournement, le temps de nettoyer son réseau. Autre priorité : comprendre l'étendue et la durée de l'attaque. Une task force composée de spécialistes de la maison mère serait à pied d'œuvre.
Le groupe de hackers chinois soupçonné est connu pour ses activités dans le cyber-espionnage ciblant de grandes entreprises, notamment du domaine de l'énergie.
L'attaque ne manque pas de rappeler le cas Stuxnet : ce malware qui semble avoir été développé précisément pour détruire une partie des centrifugeuses de l'usine d'enrichissement d'uranium de Natanz (Iran) via un dérèglement du système de contrôle de ces équipements. Sous l'éclairage de ce précédent, Telvent apparaît comme un maillon dans une chaîne d'attaque potentiellement plus vaste et visant, à travers la filiale de Schneider, ses clients finaux. À moins qu'il ne faille voir dans cet incident qu'un acte d'intelligence économique.
Une chronologie troublante
La chronologie de l'annonce de cette attaque soulève également quelque interrogations. Le 12 septembre dernier, soit deux jours après avoir découvert l'attaque si on se réfère à la date donnée par Brian Krebs, Telvent publiait un communiqué annonçant un partenariat avec Industrial Defender pour développer une offre clés en main de sécurisation des infrastructures contrôlées avec OASyS SCADA. Une offre basée sur la solution Automation Systems Manager (ASM) d'Industrial Defender qui a été, explique Telvent, "certifiée comme pleinement interopérable avec OASyS DNA SCADA et les solutions ADMS". La question se pose donc désormais de savoir quand a commencé l'attaque visant Telvent et depuis quand celui-ci en était informé. La coïncidence semble en tout cas bien heureuse...
Ironie du sort, Vincent Jaussaud, directeur de la sécurité technique de Schneider Electric, et Gilbert Paccoud, vice-président et responsable de la sécurité des informations au sein du même groupe, doivent intervenir, la semaine prochaine, lors des Assises de la sécurité, qui se dérouleront à Monaco, dans le cadre d'un atelier avec AlienVault. Le programme de l'événement indique qu'ils doivent ainsi expliquer comment le groupe a "déployé une plateforme mondiale de suivi en matière de sécurité afin de protéger ses actifs et sa propriété intellectuelle", en s'appuyant sur la plateforme Unified Security Management d'AlienVault.
Mise à jour le 27/09 à 16h20:
Suite à notre sollicitation, une porte-parole de Schneider Electric confirme l'existence de cette attaque, sans être à même toutefois de dénombrer les clients concernés par les vols de données. Elle précise que l'attaque concerne bien Telvent Canada, sans toutefois pouvoir écarter qu'elle puisse avoir touchée d'autres filiales de cet éditeur espagnol racheté par Schneider Electric en 2011. La société explique travailler avec ses clients et les autorités pour s'assurer que la brèche est colmatée, sans toutefois confirmer l'envoi d'une task force sur place.