Pirater une centrale nucléaire, c'est plus facile qu'on imagine

Une centrale nucléaire explose, irradiant l'environnement à des kilomètres à la ronde, à la suite d'une cyberattaque. Ce scénario catastrophe figure en début du film "Hacker" de Michael Mann, mais il occupe également l'esprit de bon nombre d'experts du secteur nucléaire depuis quelques années. Un rapport que vient de publier le groupe de réflexion britannique Chatham House montre qu'ils ont bien raison d'être inquiets.

D'après ce document, l'industrie nucléaire constitue une cible particulièrement vulnérable aux cyberattaques. Cette conclusion s'appuie sur des entretiens réalisés avec des experts dans plusieurs pays – dont la France, l'Allemagne, les Etats-Unis, le Japon et la Russie – et auprès d'organisations internationales comme l'Agence internationale de l'énergie atomique (IAEA) ou l'Agence européenne chargée de la sécurité des réseaux et de l'information (ENISA). 

Vulnérables par design

Selon Chatham House, les acteurs de l'industrie nucléaire "commencent, mais ont du mal, à lutter contre cette nouvelle menace insidieuse". Les centrales nucléaires, par ailleurs, "manquent de préparation pour affronter une urgence en matière de cybersécurité, dans un incident de grande ampleur, et auraient du mal à coordonner une réponse adéquate". Enfin, "nombre de systèmes industriels de contrôle sont vulnérables par design", car ils ont été développés à une époque où les cyberattaques ne jouaient pas encore un grand rôle.

En cause : un financement insuffisant de cette prévention, un manque de formation, de normes réglementaires et de culture de la cybersécurité, l'utilisation croissante du numérique dans les systèmes d'exploitation des centrales et le recours à des logiciels de série peu onéreux mais plus vulnérables au piratage, observe le rapport.

Des VPN pour se connecter à la centrale

Chatham House dénonce le "mythe répandu" selon lequel les centrales nucléaires seraient protégées parce qu'elles ne seraient pas connectées à internet ("air gapped"). Dans les faits, de nombreuses installations ont progressivement mis en place une forme de connectivité et leurs systèmes informatiques peuvent être piratés par des moyens parfois très simples. En effet, il n'est pas rare que, par commodité, certains prestataires accèdent aux ressources d'une centrale par un accès VPN.

D'ailleurs, c'est par l'intermédiaire d'une telle connexion Internet sécurisée que la centrale américaine Davis-Besse a été infectée par le ver Slammer en 2003, souligne le rapport. Un ingénieur du prestataire First Energy Nuclear avait connecté son ordinateur portable personnel au réseau VPN de son employeur, lui-même connecté directement par VPN au système SCADA de la centrale.

Certains moteurs de recherche en ligne, comme Shodan ou ERIPP, permettent d'ores et déjà aux hackers d'identifier les centrales nucléaires accessibles par Internet. "Nous avons fait une recherche en utilisant Shodan et trouvé toutes les centrales nucléaires en France qui étaient connectées à Internet", explique un expert français en cybersécurité dans le rapport. En effet, lorsque Shodan trouve un système SCADA, il fournit une géolocalisation de l'adresse IP, qu'il suffit de recouper avec les localisations connues des centrales en France.

Stuxnet, la référence

Autre exemple célèbre: le virus Stuxnet, responsable de la destruction d'un millier de centrifugeuses dans le site nucléaire de Natanz en 2010. Ce malware s'est introduit dans le système de contrôle SCADA en infectant les ordinateurs des ingénieurs de proche en proche au moyen de périphériques de stockage USB. Selon Chatham House, cette attaque est devenue une référence dans le monde des cybercriminels et leur a permis d'améliorer leurs techniques. "Une fois que l'existence de Stuxnet a été connue, explique le rapport, les pirates à travers le monde se sont inspirés de son fonctionnement et ont incorporé certaines de ses fonctionnalités à leurs propres logiciels à visée malveillante". Les conférences de hackers telles que Defcon mettent de plus en plus en évidence les failles des systèmes industriels et pointent ce type de danger.

Le rapport fournit enfin toute une série de recommandations pour améliorer cette situation: faciliter l'échange d'informations entre les différents acteurs du secteur et, en particulier, entre les centres nationaux d'alerte (CERT), intégrer le cyber dans la gestion du risque des centrales nucléaires, ou encore investir davantage dans les systèmes de sécurité informatique.