chungking - Fotolia
Qui se passe-t-il à la centrale nucléaire de Kudankulam en Inde ?
Une partie du système d’information de cette centrale semble avoir été compromise récemment. Son opérateur ne dément que partiellement, assurant qu’aucune attaque sur les systèmes de contrôle industriels n’est possible.
Officiellement, tout va bien. Selon l’opérateur de la centrale nucléaire indienne de Kudankulam, dans l’état du Tamil Nadu, de « fausses informations » ont été propagées sur Internet et dans la presse papier « en référence à la cyber-attaque » ayant visé cette centrale. Car non, les systèmes de contrôle industriels sont « isolés » et déconnectés – en airgap, dit-on. Dès lors, « aucune cyber-attaque sur le système de contrôle de la centrale nucléaire n’est possible ».
Ce qui pourrait être interprété comme un démenti formel ne l’est pas – ou alors sa formulation est particulièrement maladroite : il n’est pas question d’allégation d’attaque, ni d’attaque éventuelle, mais bien de « l’attaque ».
Pukhraj Singh, analyste en renseignement sur les menaces, assure avoir alerté les autorités locales dès le 3 septembre. Quelques jours plus tard, il évoquait sur Twitter un incident qu’il qualifiait de « casus belli ». Il n’en revendique pas la découverte, mais assure qu’un tiers est à son origine, qui lui a communiqué les indicateurs de compromission, avant que Kaspersky ne communique sur le maliciel impliqué, l’appelant Dtrack.
Selon l’analyste, un contrôleur de domaine a été compromis. Depuis, l’analyse d’échantillons partagés sur VirusTotal fait ressortir l’accès à un tel système, avec un nom d’utilisateur évocateur : KKNPP, l’acronyme du nom de la centrale nucléaire en question. La production sur l’une de ses tranches a été interrompue temporairement, plus tôt ce mois-ci. Aujourd’hui, son opérateur assure que la production se fait normalement sur les deux tranches de la centrale.
Fin septembre, Kaspersky décrivait Dtrack comme un logiciel espion, pouvant également être utilisé pour du contrôle à distance, qui aurait pu être développé par le groupe Lazarus, soupçonné de liens avec la Corée du Nord – ou du moins des similarités de code peuvent - elles le laisser penser. Et l’éditeur de renvoyer à ATMDtrack, un maliciel utilisé pour voler des données de cartes bancaires sur des distributeurs automatiques de billets.
Chez Dragos, Joe Slowik, spécialiste de la sécurité des systèmes industriels, souligne qu’il est difficile, à ce stade, de développer des certitudes autour de la situation. Il soulève la question de la réalité et de la robustesse de l’isolation revendiquée entre systèmes d’information (IT) et systèmes opérationnels (OT).
De son côté, Félix Aimé, analyste chez Kaspersky, rappelle qu’il n’y a rien d’impossible à ce qu’une personne malveillante utilise un point d’accès public pour « téléverser sur VirusTotal des échantillons altérés de maliciels attribués à des attaquants connus ». Et là, « bonne chance pour démentir »…
[Mise à jour le 30 octobre 2019] L'énergéticien public indien NPCIL vient de confirmer la compromission d'un poste de travail à visée administrative, connecté à Internet, et indique que l'identification du maliciel est correcte. Il réitère ses affirmations d'isolation des systèmes industriels et assure que "les réseaux sont surveillés en continu".