Pourquoi les États-nations piratent le pouvoir qui gouverne le monde

Pourquoi les États-nations piratent le pouvoir qui gouverne le monde

Written by on in Cybersecurité

“Si vous voulez affaiblir une nation sans tirer un seul coup de feu, commencez par appuyer sur l'interrupteur.”

Bonjour les cyber-constructeurs 🖖,

Dans la première partie de cette série, j'ai partagé mon expérience personnelle lors de la panne d'électricité en Espagne et j'ai exploré les attaques précédentes ciblant le réseau, notamment celle d'Ukraine en 2015.

Mais l’histoire d’aujourd’hui est plus profonde. Il ne s'agit pas seulement de pannes de courant. il s'agit de stratégie. Vous vous demandez peut-être : Pourquoi un acteur malveillant se soucierait-il autant d’attaquer un réseau électrique ? Qu’est-ce que cela leur apporte ?

Eh bien, la réponse est simple. il s'agit de dissuasion, représailles, et effet de levier.

Démanteler le réseau électrique d’un pays est une démarche audacieuse et visible. Elle bouleverse le quotidien, sème la panique et envoie un message clair sans tirer un seul missile.

Des acteurs soutenus par l’État violent silencieusement les réseaux qui contrôlent l’énergie, l’eau et les transports, non pas pour de l’argent, mais pour effet de levier. Pour envoyer des signaux. Préparez-vous à un avenir où les guerres commenceront avec des claviers et non avec des missiles.

Dans cet article, je vais déballer:

  • Pourquoi les réseaux sont stratégiquement importants et comment les attaques créent une pression sans effusion de sang.

  • Qu'est-ce qu'un réseau électrique (et pourquoi la fragmentation augmente les cyber-risques).

  • Comment la campagne chinoise Volt Typhoon a infiltré le réseau américain via les systèmes de télécommunications.

En décembre 2015, l'Ukraine a subi l'une des premières cyberattaques industrielles confirmées au monde, entraînant la fermeture d'une partie des sous-stations du réseau électrique du pays. Trois distributeurs régionaux d'électricité ont été attaqués simultanément. Les attaquants ont contrôlé à distance les systèmes SCADA, coupé l’électricité à plus de 230 000 personnes et même verrouillé les ingénieurs en effaçant les micrologiciels des équipements des sous-stations.

L'attaque était sophistiquée :

  • Le spear phishing a été utilisé pour obtenir l'accès.

  • malware appelé Énergie noire et tueur de records aidé à faire pivoter et à nettoyer les systèmes.

  • Un accès manuel à distance a été utilisé pour activer les disjoncteurs.

Elle a été chirurgicale, coordonnée et soutenue par l’État. La plupart des experts, compte tenu notamment des tensions géopolitiques du moment, désignent la Russie comme l’acteur probable.

Pour beaucoup dans le monde de la cybersécurité, c’était le moment du 11 septembre. Cela a montré que les bits pouvaient faire planter l’infrastructure, pas seulement les ordinateurs. Mon analyse est dans un rapport PDF dans le premier post, où j'ai également partagé mon sentiment personnel d'être en Espagne pendant la apogon :

Pourquoi les États-nations piratent le pouvoir qui gouverne le monde

Quand les lumières s'éteignent : mon histoire depuis la panne d'électricité espagnole

Lorsque les médias parlent du « réseau électrique », cela ressemble souvent à un vaste système monolithique, comme si un seul interrupteur contrôlait toute l’électricité d’un pays.

Le réseau électrique est un Écosystème très complexe, stratifié et de plus en plus fragmenté.. Pour comprendre vos risques de cybersécurité, nous devons d’abord comprendre votre architecture.

Alors analysons-le.

Voici la première étape du système : créer de l'électricité provenant de diverses sources d’énergie.

Traditionnellement, cela signifiait de grandes centrales électriques centralisées:

  • Charbon sols

  • Gaz naturel sols

  • Nucléaire sols

  • Hydro-électrique barrages

Aujourd’hui, le panorama est bien plus diversifié :

  • Parcs éoliens (à terre et en mer)

  • Fermes solaires

  • Biomasse génération

  • Même production à petite échelle (comme des panneaux solaires sur les toits des maisons ou des entreprises)

  • La dernière innovation dans notre monde énergivore concerne les petits réacteurs modulaires, des mini-centrales nucléaires qui peuvent être installées à proximité d’usines ou de centres de données.

Dans de nombreux pays, la production d’électricité est aujourd’hui hautement décentralisé. Un particulier, une entreprise ou une commune peut désormais alimenter le réseau en électricité. Cela signifie beaucoup plus d'acteurschacun avec ses systèmes et ses réseaux.

2️⃣ Transport d'énergie (le réseau « haute tension »)

Une fois l’électricité produite, elle doit être transférée. longues distances—des centrales électriques (souvent en dehors des villes) aux grands centres de consommation.

Cela se fait à travers le réseau de transport:

Les grands opérateurs nationaux ou régionaux gèrent généralement les réseaux de transport. En Europe, les exemples incluent RTE (France) soit TenneT (Allemagne/Pays-Bas); aux États-Unis, les organismes régionaux de transport (RTO) gérer ces systèmes.

Cette partie de la grille est encore relativement centralisé mais de plus en plus dépendant systèmes de contrôle automatisés (SCADA et SCI ; plus d'informations à ce sujet ci-dessous). En fait, ce sont les ordinateurs, les réseaux et les sociétés de télécommunications qui gèrent le réseau.

Ces systèmes contrôlent le processus physique réseau : Ouverture/fermeture des disjoncteurs, réglage de la tension, surveillance des charges et des défauts. Ils ont été conçus pour fiabilité et disponibilitépas pour la cybersécurité. Beaucoup continuent de courir anciens protocoles avec pas de cryptage et authentification faible.

Finalement, l'électricité atteint le réseau de distribution:

  • Locale sous-stations baisser à nouveau la tension

  • Lignes de distribution Apportez de l’électricité aux quartiers, aux maisons, aux bureaux et aux usines.

C'est le “dernier kilomètre” secteur : ce qui se branche directement sur votre prise.

Dans de nombreux pays, cette couche est désormais plus fragmenté que le transport : Services publics locaux, Opérateurs communaux, Réseaux privés de distribution en zones industrielles

Un autre niveau de complexité est introduit par :

  • Compteurs intelligents dans les foyers et les entreprises

  • Communication bidirectionnelle entre le réseau et les appareils

  • Les consommateurs deviennent des « prosommateurs » (à la fois consommer et produire de l’électricité)

Historiquement, une grande entreprise de services publics contrôlée par l'État Il gérait les trois niveaux : production, transport et distribution.

Cela signifiait : Un ensemble de systèmes, Un modèle de sécurité, Un ensemble de politiques opérationnelles, Un périmètre réseau de confiance, Un RSSI et ses équipes.

Aujourd'hui, la réalité est différente :

  • Plusieurs acteurs dans chaque couche

  • Entreprises privées produire de l'énergie

  • Interconnexions transfrontalières en europe

  • Fournisseurs externes d’énergies renouvelables se brancher directement sur le réseau

  • Microréseaux (réseaux locaux pouvant fonctionner de manière semi-autonome)

  • Réseaux intelligents (réseaux avec surveillance numérique et contrôle dynamique)

  • Énergie renouvelable c'est-à-dire injecter de l'énergie intermittente dans les réseaux (par opposition à une centrale électrique qui envoie un flux constant d'énergie)

Lorsque vous défendez un réseau électrique, vous défendez un système complexe auquel vous ne pouvez plus faire confiance dans un « périmètre ». Chaque nouveau point de connexion (chaque parc éolien, chaque panneau solaire, chaque générateur privé) est un nouveau vecteur d'attaque potentiel:

Beaucoup de ces partis ont différents niveaux de maturité IT/OT. peut courir logiciel différent. Ils n'ont peut-être pas le même niveau de contrôles de sécurité. Ils peuvent faire confiance accès à distance soit plateformes cloud pour gérer vos systèmes. Ils sont souvent connecté via une infrastructure de télécommunications publique (Point clé : cela est lié à l'objectif de Volt Typhoon en matière de télécommunications)

Le concept « Smart Grid » ajoute plus Systèmes informatiques, appareils IdO, APIet gestion à distance outils.

Les problèmes de sécurité incluent :

  • Authentification et autorisation entre toutes ces parties

  • Gestion des identités et des accès. pour des milliers de nouveaux acteurs

  • Risque de chaîne d’approvisionnement — de nombreux fournisseurs proposent des composants pour compteurs, convertisseurs, onduleurs, etc.

  • Appareils IoT non sécurisés Ils pourraient être utilisés comme points d’entrée.

Je fournirai plus de détails techniques dans le dernier article de la série. Mais pour l’instant, voyons qui pourrait être intéressé par le piratage des réseaux électriques.

Le cybergroupe parrainé par l'État chinois Volt Typhoon infiltre activement les secteurs des infrastructures critiques aux États-Unis depuis au moins 2021. Ses opérations sont caractérisées par la furtivité et la persistance, et son objectif est d'établir un accès à long terme aux systèmes qui contrôlent les services vitaux (voir ici)

Une vidéo montrant plusieurs responsables américains à la Bourse de New York parlant des menaces est très instructive.

Dans cette vidéo (une très bonne heure à passer), nous apprenons :

  • Comment les pirates informatiques soutenus par le gouvernement chinois ont acquis des capacités étendues et peuvent intensifier leurs attaques contre des centaines de services publics.

  • Pourquoi il est essentiel de distinguer le PCC et le gouvernement populaire chinois.

  • “La Russie est l'ouragan, la Chine est le réchauffement climatique.”

  • Les infrastructures critiques et la sécurité des OT continuent de constituer une menace importante. C'est décourageant d'entendre encore cela plus de 10 ans après avoir lancé une entreprise de niche : Sentryo, qui fait désormais partie de Cisco.

  • Le vol de propriété intellectuelle est une source majeure de déséquilibre concurrentiel entre la Chine et les pays occidentaux (États-Unis et Europe).

J’aime la façon dont ces anciens hauts responsables nationaux discutent ouvertement des menaces. Soyez prudent avec eux.

Volt Typhoon a principalement ciblé des secteurs tels que l'énergie, les communications, les transports et les systèmes d'eau. Leur approche implique des tactiques de « vivre de la terre », en utilisant des outils de gestion de réseau légitimes pour éviter d'être détectés. Cette méthode leur permet de se fondre dans les activités normales du système, ce qui rend leur présence difficile à identifier.

Un incident notable a impliqué une compagnie d'électricité du Massachusetts, où Volt Typhoon a maintenu l'accès pendant près d'un an. Pendant ce temps, ils ont extrait des données sensibles liées aux procédures de technologie opérationnelle (OT) et à la conception spatiale des opérations du réseau énergétique. Ces informations sont cruciales pour comprendre comment perturber efficacement ces systèmes.

Le directeur du FBI, Christopher Wray, a souligné la gravité de cette menace, affirmant que les pirates informatiques chinois “Ils ont infiltré les infrastructures critiques de l'Amérique et attendent 'le bon moment pour porter un coup dévastateur'.”

L’objectif général de ces infiltrations semble être de prépositionner des cyberactifs qui peuvent être activés pour perturber les tensions géopolitiques. Cette stratégie permet de neutraliser rapidement les infrastructures critiques, obtenant ainsi un avantage stratégique sans s'engager dans une guerre traditionnelle.

Sous la direction de Jen Easterly, CISA, une agence américaine, a fait un travail formidable en expliquant et en fournissant des détails sur ces campagnes. Vous pouvez en lire davantage ici et regardez également la vidéo ci-dessus.

Le réseau électrique moderne n’est plus une entité unique : c’est un champ de bataille distribué et connecté numériquement. Et voici le vrai risque : L’acteur le plus faible de la chaîne est peut-être celui qui ouvre la porte.

Nous avions l’habitude de considérer Grid comme une « infrastructure critique ». Maintenant, c'est aussi un arme stratégique pour ceux qui le défendent et pour ceux qui cherchent à l’exploiter. Que Volt Typhoon s’intègre silencieusement dans des équipements de télécommunications ou que des fournisseurs d’énergie fragmentés exposent des points d’entrée non corrigés, la nouvelle réalité est simple :

La cyberdissuasion commence bien avant que les lumières ne s’éteignent.

Dans la troisième partie, j'aborderai la couche tactique, depuis les faiblesses du protocole SCADA jusqu'aux scénarios de remédiation réels.

👉 Restez à l'écoute. Et si vous êtes déterminé à défendre les infrastructures, il est temps d’agir comme si vous l’étiez déjà.

Source link