Définition Pipedream
La lutte contre les cybercriminels est ponctuée par l’arrivée de nouveaux malwares, chaque fois plus virulents. Une alerte de sécurité a été lancée par le FBI, la CISA, la NSA et le gouvernement américain après la découverte de Pipedream, un logiciel malveillant programmé pour attaquer les infrastructures industrielles vitales. Le malware Pipedream alarme les services de cybersécurité par sa puissance et le niveau de dégâts qu’il peut occasionner.
Qu’est-ce que le malware Pipedream ?
En 2022, le malware Pipedream est découvert aux États-Unis. L’agence américaine de la cyberdéfense tire la sonnette d’alarme par le biais d’un communiqué. Les entreprises du secteur de l’industrie sont directement concernées par Pipedream. Ce malware a, en effet, été développé spécifiquement pour toucher les systèmes d’information industriels (ICS et SCADA). Il est conçu pour viser :
- les PLC Schneider Electric ;
- les PLC OMRON Sysmac NEX ;
- les serveurs OPC UA ;
- les pilotes de cartes mères ASRock.
Les PLC (Contrôleurs logiques programmes) servent d’interface entre les ordinateurs et les capteurs dans les environnements industriels. Ils communiquent directement avec les serveurs OPC UA, utilisés eux aussi dans les infrastructures informatiques de l’industrie du pétrole et des réseaux électriques.
Deux entreprises de cybersécurité américaines, expertes dans leur domaine, Dragos et Mandiant, ont analysé le malware. Dragos l’a appelé Pipedream alors que Mandiant l’a nommé « Incontroller ». Cette dernière agence ajoute que ce malware est aussi dangereux que Triton (2017), Industroyer (2016) et Stuxnet (2010), tous les trois très virulents et ciblant les industries énergétiques. Pour rappel, Stuxnet a saboté le programme nucléaire iranien.
Pourquoi le malware Pipedream est-il dangereux ?
Pipedream est considéré comme une menace sérieuse pesant sur l’industrie, partout dans le monde. Son déploiement et sa mise en action pourraient causer des dégâts considérables, autant sur les infrastructures matérielles, que sur l’environnement, mais aussi sur les vies humaines.
Une infrastructure informatique clé prise pour cible : ICS et SCADA
Les pirates à l’origine de Pipedream ont travaillé leur malware de façon à cibler des éléments indispensables et incontournables d’une infrastructure industrielle. Ils visent le cœur même des outils essentiels au fonctionnement de la structure. Les systèmes de contrôle industriels (ICS) assurent la surveillance des installations et des machines et veillent à la régularité des processus industriels.
Le système SCADA (Supervisory Control and Data Acquisition) gère les ICS dans leur globalité. Il reçoit notamment les alertes de dysfonctionnement. Mis en veille par le malware, SCADA pourrait ne plus alarmer les équipes d’un problème majeur sur les infrastructures, les empêchant d’intervenir avant les dommages.
Les systèmes industriels « critiques » victimes exclusives de Pipedream
Pipedream a pour vocation d’impacter les industries dites « critiques », c’est-à-dire les industries qui, par leur production, pourraient nuire gravement à la société en cas de dysfonctionnement. Il est question notamment des secteurs énergétiques (gaz, pétrole, électricité, nucléaire, etc.), mais aussi l’eau, les transports, etc. Un sabotage des systèmes de contrôle industriels (ICS) pourrait avoir des conséquences dramatiques, comme l’interruption des services, l’explosion des infrastructures, etc.
La polyvalence et l’adaptabilité de Pipedream
Pipedream n’est pas conçu pour une industrie en particulier : il s’adapte à tous les processus et à différents systèmes d’infrastructure. Il peut s’infiltrer dans tous les ICS, quels que soient leurs domaines d’activité. Ce n’est donc pas une seule industrie qu’il est nécessaire de protéger, mais tout le secteur industriel dans sa globalité.
Les objectifs de destruction de ce type de malware
La menace du malware Pipedream inquiète les autorités et les experts de la cybersécurité tant son impact peut être dramatique. Les pirates peuvent se contenter de voler des données sensibles. Ils peuvent aussi aller bien plus loin dans le sabotage des infrastructures. Le malware peut causer des pannes matérielles, l’arrêt de l’activité et le dysfonctionnement des processus industriels. Dans le pire des cas, il peut impliquer des catastrophes humaines et environnementales.
Un malware sophistiqué conçu par des experts de la cybersécurité
Pipedream est un malware dont le code est sophistiqué. Son développement a été réalisé par des experts, tant dans le domaine industriel que dans celui de la cybersécurité. Ces pirates ont donc les moyens financiers et les ressources humaines pour analyser, imaginer et développer un malware aussi puissant. Cela signifie également que ces pirates se basent sur des stratégies d’attaques et de ciblages plus avancées.
Comment le logiciel Pipedream infecte-t-il et impacte-t-il les infrastructures ?
Le malware Pipedream, aussi sophistiqué soit-il, repose sur un mode d’infection habituel que peut utiliser un ransomware ou n’importe quel autre logiciel malveillant. Son impact sur les infrastructures industrielles dépend des objectifs des cybercriminels.
Le mode d’intrusion du malware Pipedream dans les systèmes
L’infection d’un système par un malware est souvent liée à l’ingénierie sociale. Les employés d’une entreprise cliquent sur des liens frauduleux sans prendre conscience qu’il s’agit d’une tentative d’hameçonnage. La négligence humaine est un facteur qu’exploitent les hackers. Il se peut également que l’humain soit impliqué en conscience. Il suffit qu’un employé introduise sciemment le malware dans les systèmes.
Les systèmes de contrôle industriel (ICS) peuvent également connaître des failles de sécurité. Elles sont exploitées par les pirates pour injecter le malware. Le logiciel n’a alors plus qu’à se diffuser dans les réseaux.
L’impact du malware Pipedream sur les infrastructures industrielles
L’impact de ce nouveau malware dépend de l’objectif de la cyberattaque. Les pirates peuvent réaliser des opérations de chantage, montrer ce dont ils sont capables ou nuire pleinement à un pays. Parmi les principaux objectifs et impacts, citons par exemple :
- l’espionnage industriel avec le vol de données ;
- le sabotage matériel et informatique de l’industrie visée ;
- l’arrêt complet des services ;
- le déclenchement de défaillances matérielles pour causer des dommages industriels ou sociaux selon la gravité.
Quel est le lien entre le malware Pipedream et la Russie ?
Le lien entre le malware Pipedream et la Russie n’a pas été officialisé. Lors de la découverte du programme, aucun élément n’a pu le relier à un groupe d’hacktivistes connus. En revanche, pour les experts, Pipedream a été développé et mis en place par un groupe de hackers étatique, souhaitant saboter les infrastructures industrielles d’un pays « ennemi ».
Le lien avec la Russie ne repose que sur la comparaison d’attaques du genre. Pipedream reprendrait le même schéma que des attaques de cyberattaquants russes, mais aussi chinois ou indiens.
Comment les organisations et les gouvernements réagissent-ils à la menace Pipedream ?
Les gouvernements et les organisations prennent au sérieux le logiciel Pipedream. Des audits de sécurité et une sensibilisation sur la menace ont été déployés auprès des principaux acteurs. La CISA (America’s Cyber Defense Agency) a publié un guide de mesures à mettre en place afin de protéger les systèmes ciblés.
Quelles stratégies peuvent être mises en œuvre pour se protéger contre des malwares comme Pipedream ?
Par chance, le malware Pipedream a été découvert avant sa mise en action. Aussi, les organisations et les gouvernements disposent d’éléments concrets sur lesquels travailler afin de réduire la menace de ce malware.
Renforcement de la sécurité des infrastructures critiques
En connaissant la cible de Pipedream, les organisations peuvent centraliser les stratégies de sécurité sur les ICS et le SCADA de l’infrastructure. Un audit de sécurité est alors mené afin de détecter les éventuelles failles à corriger. L’isolement des réseaux ICS des autres systèmes est une solution pour réduire la propagation du malware.
Une politique de surveillance accrue, aidée par des outils de détection des intrusions (IDS/IPS) et des outils d’analyse des comportements anormaux, doit être instaurée, comme le renforcement des protocoles de sécurité.
Mettre en place une réponse à un incident et assurer la continuité de l’activité
Une organisation préparée à une cyberattaque d’envergure dispose d’une équipe de réponses aux incidents, capables de réagir rapidement afin de limiter les dégâts. Par ailleurs, la cyber résilience prend ici tout son sens puisqu’il s’agit de conserver l’activité des industries avec des plans de continuité des opérations.
Sensibilisation et prévention auprès des employés des industries critiques
Pour les industries critiques, la formation des employés aux cyberattaques, comme les tentatives de phishing, réduit les risques d’intrusion. La prévention et la compréhension des enjeux font de vos employés des cibles moins faciles à exploiter pour les cybercriminels.
Le malware Pipedream est reconnu comme étant une cyberattaque sérieuse. Sa découverte et la compréhension de son mode opératoire ont permis aux organisations de s’y préparer. Il reste néanmoins une menace pour les industries critiques et la vigilance des équipes de cybersécurité, partout dans le monde, reste d’actualité.