Le grand piratage d’Euro Sat devrait être un avertissement pour nous tous

Les responsables militaires et les chercheurs en sécurité civile nous avertissent depuis des années : les cyberattaques deviennent une partie très réelle de la guerre moderne. Loin de se limiter aux cibles militaires, les cyberattaques peuvent tout détruire, des infrastructures publiques vitales aux opérations commerciales et industrielles.

Aux premières heures du 24 février, alors que la force d’invasion russe commençait à faire pleuvoir des missiles sur les villes ukrainiennes, une autre attaque était en cours dans le domaine numérique. Soudain, les terminaux satellites à travers l’Europe se sont déconnectés, et beaucoup ont subi des dommages permanents à cause de l’attaque.

Les détails restent flous, mais les chercheurs et les analystes militaires ont reconstitué une image de ce qui s’est passé cette nuit-là. Le Great Euro Sat Hack s’avère être le dernier exemple de la vulnérabilité de notre infrastructure numérique en temps de guerre.

Un réseau est aussi sûr que son point le plus faible

Le satellite KA-SAT exploité par la société américaine Viasat a été lancé en 2010. Il est chargé de fournir l’Internet haut débit par satellite à travers l’Europe, avec une couverture limitée s’étendant également à certaines parties du Moyen-Orient. Les clients du service comprennent des utilisateurs résidentiels à travers l’Europe, ainsi que de nombreux systèmes industriels.

5 800 éoliennes ont perdu leurs connexions de données par satellite lors de l’attaque, compromettant la surveillance à distance du matériel. Le service a été rétabli grâce à une combinaison de remplacement des modems satellites concernés et d’installation de liaisons de données cellulaires/LTE supplémentaires. Crédit : site de presse ENERCON

Le 24 février, lorsque les forces russes ont commencé leur invasion à grande échelle de l’Ukraine, le système KA-SAT a également été attaqué. Des milliers de terminaux se sont soudainement déconnectés aux premières heures du matin. Loin de se limiter à la seule Ukraine, les utilisateurs en Grèce, en Pologne, en Italie, en Hongrie et en Allemagne ont tous été touchés.

Notamment, 5 800 éoliennes en Allemagne ont vu leurs systèmes d’administration s’éteindre alors que l’attaque faisait rage. Lorsque les liaisons satellites ont été interrompues, la surveillance des éoliennes via les systèmes SCADA n’était plus possible. Heureusement, la stabilité du réseau n’a pas été affectée selon l’opérateur ENERCON, car les opérateurs de réseau ont maintenu le contrôle de l’apport d’énergie éolienne au réseau via d’autres méthodes.

Les premiers rapports ont émis l’hypothèse qu’une simple attaque par déni de service distribué (DDoS) pourrait être à blâmer. Ce type d’attaque, où des flots de trafic sont utilisés pour submerger un réseau ou un serveur, est simpliste et de courte durée.

Cependant, il est rapidement devenu évident qu’une attaque beaucoup plus grave avait eu lieu. Les chercheurs analysant les retombées ont noté que de nombreux terminaux avaient été définitivement mis hors ligne et n’étaient plus utilisables. Des informations se sont lentement échappées de diverses sources, indiquant que le satellite lui-même n’avait pas été altéré, ni endommagé ou physiquement attaqué de quelque manière que ce soit. Ainsi, le problème réside probablement dans le segment sol du réseau KA-SAT.

Les déclarations officielles ont indiqué que les modems Surfbeam2 grand public étaient une cible principale de l’attaque. Cela soulève des questions sur l’impact de l’attaque sur l’infrastructure énergétique allemande, qui devrait utiliser une solution plus industrielle. 1 crédit

Un peu plus d’un mois après l’attaque, Viasat a publié une déclaration expliquant l’ampleur et la nature de l’attaque. Selon le rapport de la société, l’action a commencé à 03h02 UTC avec une attaque par déni de service propagée par les utilisateurs utilisant les modems SurfBeam 2 et Surfbeam2 + sur une section orientée consommateur du réseau KA-SAT. Ces modems situés en Ukraine généraient d’importants volumes de trafic malveillant et empêchaient les utilisateurs légitimes de rester en ligne. Les équipes techniques de Viasat ont travaillé pour bloquer ces modems malveillants du réseau, d’autres apparaissant au fur et à mesure que l’équipe les supprimait.

Pendant cette période, les modems se déconnectaient progressivement sur cette partition réseau. Cela s’est accéléré à 4h15, ce qui a vu un exode massif de modems se connectant au réseau KA-SAT à travers l’Europe, tous sur la même partition de réseau grand public. Les modems manquants ont disparu pour de bon, aucun ne tentant de se reconnecter au réseau satellite.

Une analyse ultérieure a montré qu’une brèche s’était produite dans les systèmes de gestion du réseau KA-SAT, via une « mauvaise configuration dans un appareil VPN ». Les attaquants ont accédé au réseau de gestion et l’ont utilisé pour envoyer des commandes aux modems résidentiels du réseau, corrompant la mémoire flash embarquée et les rendant inutilisables.

Dans la foulée, le chercheur en sécurité Ruben Santamarta a pu mettre la main sur un modem Surfbeam2 affecté, ainsi qu’un autre appareil propre épargné par l’attaque. Vider la mémoire flash des deux modems était révélateur. Le modem compromis avait une mémoire flash fortement corrompue par rapport à l’original, ce qui a laissé les modems dans un état non fonctionnel. Les dégâts étaient si complets dans certains cas que les modems concernés n’affichaient même pas les voyants d’état lorsqu’ils étaient allumés. 0 000 modems de remplacement ont finalement été expédiés aux clients pour les remettre en ligne dans les semaines suivant l’attaque.

Il y a encore quelques questions auxquelles il faut répondre concernant l’attaque. On ne sait pas exactement comment les attaquants sont entrés dans le segment de gestion du réseau KA-SAT, et la société est réticente à rendre public ce qui s’est passé. La première attaque DDOS suivie du maillage des modems fait également allusion à une attaque en plusieurs étapes bien planifiée, suggérant que le piratage a été planifié longtemps à l’avance. Il y a aussi des questions annexes, comme pourquoi l’infrastructure électrique allemande a été affectée par une attaque censée se limiter aux modems résidentiels et à un segment de réseau orienté consommateur.

Ces spécificités intéressent les chercheurs en sécurité et les personnes impliquées dans les entreprises en question. Plus largement, cependant, cela montre que les cyberattaques peuvent être et seront utilisées contre des infrastructures réelles en temps de guerre. De plus, les effets ne seront pas nécessairement limités aux zones ciblées ou à l’armée. Il est trop facile pour une telle attaque d’avoir des effets étendus en aval lorsque nos réseaux traversent les frontières nationales.

Dans l’ensemble, c’est un rappel effrayant des vulnérabilités inhérentes à une grande partie de notre infrastructure. Cette fois, il s’agissait d’Internet par satellite, d’autres fois, il s’agissait de l’approvisionnement en eau ou du système de santé. Les enjeux sont élevés dans tous ces cas, il y a donc de nombreuses raisons d’investir dans le renforcement de la sécurité dans la mesure du possible.