
Quand le code tue : l'essor des cyberattaques cinétiques
Avez-vous regardé la récente minisérie Netflix Zero Day, avec Robert De Niro ? (Je n'en suis qu'au quatrième épisode, donc pas de spoilers, s'il vous plaît.)
Si ce n'est pas le cas, sachez que l'intrigue concerne une cyberattaque massive, qui affecte l'ensemble des systèmes informatiques aux États-Unis. Tous subissent un black-out pendant une minute puis se réactivent, avec des résultats catastrophiques : des milliers de personnes meurent lorsque des avions s'écrasent, des trains déraillent, des usines explosent, etc.
Cette attaque imaginaire, avec son cortège de destructions et de pertes en vies humaines, appartient à la catégorie des cyberattaques cinétiques. Et bien que la nature de l'attaque fictive – qui contourne simultanément toutes les stratégies de sécurité et qui affecte tous les types de systèmes d'exploitation, des téléphones portables aux systèmes de contrôle industriel – la rende extrêmement improbable, il est vrai que les cyberattaques cinétiques sont en augmentation.
Si quinze années se sont écoulées depuis la première cyberattaque cinétique, les experts préviennent néanmoins que les systèmes industriels et d'infrastructures critiques demeurent insuffisamment protégés contre de telles attaques.
Attaques cinétiques dans le monde réel
Stuxnet
C'est en 2010 que s'est produit le premier cas connu de cyberattaque cinétique ; à cette occasion, des professionnels de la sécurité ont identifié un malware appelé Stuxnet. Il est généralement admis que le malware a été développé par les forces gouvernementales israéliennes et américaines. Il a ensuite été déployé contre des éléments du programme de développement d'armes nucléaires de l'Iran, en exploitant plusieurs vulnérabilités Windows jusqu'alors inconnues.
Stuxnet a été spécifiquement conçu pour détruire les centrifugeuses que l'Iran utilisait pour enrichir l'uranium. En modifiant la programmation de certains types de contrôleurs logiques programmables (PLC), le malware a provoqué une rotation irrégulière de ces centrifugeuses, les amenant finalement à s'autodétruire. On estime que l'attaque a retardé le programme d'armement de l'Iran d'au moins deux ans.
Par-dessus tout peut-être, la découverte de Stuxnet a annoncé au monde que les infrastructures critiques pouvaient être endommagées ou détruites en n'utilisant rien de plus qu'un code malveillant.
Pipeline colonial
En 2021, Colonial Pipeline a été victime d'une attaque par ransomware qui a amené l'entreprise à suspendre l'exploitation de ses oléoducs et gazoducs. Les systèmes de contrôle industriel (ICS) qui géraient les pipelines n'étaient pas isolés des systèmes de données de l'entreprise, laissant ouverte la possibilité d'une défaillance catastrophique si le ransomware migrait entre les deux types de systèmes.
En fin de compte, les systèmes physiques n'ont subi ni dommage ni destruction, mais l'arrêt a eu un effet fort et immédiat sur les prix et la disponibilité de l'énergie, et il a probablement exposé les États-Unis à un risque stratégique.
Attaque d'une usine de traitement des eaux en Floride
En 2021 également, un cybercriminel a pu accéder aux installations de traitement des eaux d'Oldsmar, en Floride, en utilisant une plateforme logicielle d'accès à distance sécurisée par mot de passe, inactive depuis longtemps. Le pirate a modifié les contrôles de manière à ajouter 100 fois la quantité normale d'hydroxyde de sodium (soude caustique) à l'eau.
Heureusement, un opérateur en ligne a remarqué l'attaque en cours et a réinitialisé le contrôle avant que le mal soit fait. Il est terrifiant d'imaginer ce qui aurait pu se passer si l'attaque avait eu lieu de nuit, lorsque aucun opérateur légitime n'aurait été connecté.
Sécurisation des systèmes vulnérables
Les cyberattaques cinétiques se sont multipliées ces dernières années, et il n'y a aucune raison qu'elles ne continuent pas de proliférer.
Les systèmes cyberphysiques (CPS), des systèmes informatiques connectés à Internet ainsi qu'à des systèmes physiques et mécaniques, sont omniprésents. Cette technologie présente des avantages immenses pour nous, des ICS et systèmes d'infrastructures critiques aux appareils IdO ordinaires (réfrigérateurs, stimulateurs cardiaques, etc.).
Toutefois, bien que les gouvernements et les industries reconnaissent de plus en plus la nécessité d'une sécurité robuste pour protéger les données et les réseaux traditionnels, de nombreux systèmes CPS parmi les plus vulnérables, y compris ceux des infrastructures critiques, continuent d'être insuffisamment protégés, ce qui pourrait entraîner des dommages massifs, voire des pertes humaines, en cas d'attaque.
Que devraient faire les administrateurs de ces systèmes pour mieux les protéger contre les attaques ?
L'une des premières étapes – et l'une des plus importantes – consiste à mettre en œuvre un cloisonnement robuste des systèmes CPS afin d'empêcher les pirates d'utiliser les réseaux de données pour les pénétrer et les compromettre. Dans la mesure du possible, ils doivent être protégés par air gap, c'est-à-dire complètement séparés physiquement d'Internet et des autres réseaux et systèmes.
Une autre étape importante consiste à mettre en œuvre des contrôles d'accès très stricts, tels que des systèmes Zero Trust, en utilisant les principes du moindre privilège pour garantir que seules les personnes ayant un besoin absolu d'accéder aux systèmes CPS sont autorisées à le faire.
Investissez dans des systèmes de sécurité avancés – y compris dans des pare-feux réseau et applicatifs –, au moins au même niveau que pour les solutions de sécurité destinées aux réseaux et systèmes traditionnels, axés sur les données.
Réalisez fréquemment des audits de sécurité afin de vous assurer que tous les logiciels sont à jour et que toutes les vulnérabilités connues sont corrigées rapidement. En outre, assurez-vous que tous les accès temporaires accordés aux prestataires ou aux techniciens externes sont supprimés dès qu'ils ne sont plus nécessaires.
Les enjeux sont toujours élevés en matière de cybersécurité. Mais à mesure que la fréquence et la gravité des cyberattaques cinétiques augmentent, ces enjeux deviennent incalculables.

Rapport 2025 sur les ransomwares
Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier
S’abonner au blog de Barracuda.
Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée
Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter