Can we hack… electrical networks?- Numerama Numerama Numerama, reference media on digital society and technological innovation
With the development of intelligent networks and the introduction of renewable energy parks, the energy industry in turn discovers IT vulnerabilities.
For the energy industry, there is a before and a after Stuxnet.Before2010 and the spectacular electronic sabotage of Uranium enrichment installations in Natanz, Iran, the future of the sector promised to be roughly radiant: the coming decade, it was announced, brought with it the "Smart Grid», The electricity network of the future.
The Kashiwazaki-Kariwa nuclear power plant in Japan, in2007.// Source: IAEA IMAGEBANK via Flickr (CC.2.0)
Then Natanz fell, and an unprecedented nightmare appeared: that of a generalized blackout, caused by a group of hackers who broke out on an electric network made of millions of interconnected and vulnerable components.Cold shower for the industry, forced to take an accelerated cybersecurity course.In Europe, the dreaded blackout has already happened. C’était en Ukraine, en2015 et2016 (sur ce sujet, nous vous conseillons la lecture de nos deux dossiers écrits en2017 : « Ukraine, anatomie d’une cyberguerre»» épisode 1 et épisode2). À un an d’intervalle, deux virus, Black Energy et Industroyer, paralysaient les centrales du fournisseur Ukrenergo et plongeaient230 000 résidents dans le noir pendant une à six heures.
2017, year of intrusions
Since then, the threat has intensified. En mars dernier, le Département de la Sécurité intérieure américain révélait que la Russie pénétrait régulièrement son réseau d’énergie depuis2017.To the point of having "finger on the switch" of several power plants, worried the New York Times (without specifying the number).The alleged official: an Apt group (for Advanced persist Threat, an American acronym for "Advanced persistent threat", which describes these groups of dormant pirates) called Dragonfly, the Croquematitaine de la Cybersecurité de l'énergie, affiliated with Moscow by good number D'experts.
Malgré les menaces de représailles et les 96 millions de dollars investis depuis par le gouvernement Trump dans la cyberdéfense, les attaques continuent en2018, aux États-Unis et en Europe occidentale (la Turquie, la Suisse et le Royaume-Uni ont été visés à leur tour).For the moment, these groups are not trying to harm, simply to learn and to settle deeply in the networks.France is also confronted with it.In October, during a hearing in the Senate, the director of the ANSSI Guillaume Poupard recognized "attempts to intrude mapping systems linked to the energy sector, which had only one goal: the preparation of'Future violent actions.»»
What is a blackout?
Attacks against the electricity network, in Europe and in the United States, are still very rare. Selon un rapport de Gabrielle Desarnaud, consultante chez Capgemini, publié par l’Institut français des relations internationales (Ifri) en2017, on en dénombre une vingtaine dans le monde depuis 1982. Néanmoins, les tentatives de pénétration sont de plus en plus nombreuses chaque année : en2016, le Bilan sûreté annuel de RTE (le gestionnaire du réseau français d’électricité, qui n’a pas donné suite à nos demandes) dénombrait 4300 attaques par mois (sans en préciser la nature), rapportait Le Monde.The following year, the figure climbed to 5800.Fortunately, these attempts to penetrate the network never succeed, because the scenario of a blackout would be nightmarish.
des lignes électriques de haute-tension // Source : Crédit : PurpleLorikeet, via Flickr (CC2.0)
En2011, un rapport de l’Office of Technolgy Assessment allemand démontrait qu’en cas de panne de longue durée, une fois les réserves de diesel écoulées, les télécommunications seraient réduites aux services essentiels (armée, hôpitaux, police, administration), les services publics s’effondreraient, le traitement d’eau serait paralysé, la chaîne du froid rompue, etc.In a few days, explains the report, water and food would be missing, and the return to normal could take several months.Once the country has left, the addition could be astronomical. En2015, l’assureur britannique Lloyd’s estimait le coût d’une panne électrique de 15 États américains (soit 93 millions de personnes) à243 milliards de dollars, voire 1000 milliards dans le cas extrême.
Tailor-made viruses with mutant viruses
The most famous attacks vary enormously in complexity. Certaines (Stuxnet, Black Energy) portent le sceau d’acteurs étatiques et supposent de considérables moyens humains et financiers ; d’autres, comme le ver Slammer qui infectait en2003 une centrale nucléaire de l’Ohio pendant cinq heures, sont beaucoup plus modestes.The attacks are aimed, as desired, the confidentiality of power plants (collecting sensitive data on the architecture of the network to resell them), the availability of energy (punctually interrupting the functioning of a power station, as was the case inUkraine) or the integrity of infrastructure.
Staxnet did not directly target centrifuge, but rather the industrial programmable automata of Siemens (or PLC, here in photo) which electrically controlled centrifuge.// Source: Wikipedia
This last scenario is both the most worrying and the most spectacular. On sait depuis2007 qu’un virus informatique peut forcer un générateur à s’autodétruire, et les stratégies n’ont cessé de se perfectionner depuis dix ans. Stuxnet, révélait le chercheur de Symantec Eric Chien en2010, a ciblé précisément le convertisseur de fréquence qui contrôlait la vitesse des moteurs des centrifugeuses de la centrale de Natanz pour les ralentir et les accélérer successivement jusqu’à destruction.The virus was therefore custom -made for the target factory.
Today, the threat has transferred, and certain malicious programs, as an industry, are reconfigurable according to the targets, warn the experts. En2017, un nouveau type de virus, appelé Triton, était identifié dans l’usine pétrochimique de Tasnee, en Arabie Saoudite.Its objective was neither to steal data, nor to paralyze the production, but to explode the complex.How ?By putting out of use a part called triconsex controller, responsible for regulating the voltage, pressure and temperature of the instruments so that they operate normally.
TRICONEX brand devices are active safety systems that make it possible to secure and protect industrial electrical devices.
Roasted acorn squash, roasting acorn squash, How to roast acorn squash http: // t.CO/DRW9IBYWAU
— Jan Charles Wed Sep25 11:40:28 +00002013
These controllers, manufactured by French Schneider, equip 18,000 plants, chemical factories and refineries worldwide.Without security fix, all these sites are potentially exposed to the same type of sabotage.In view of national laws, this kind of attack on critical infrastructure often constitutes an act of war, to which the targeted country can respond militarily.Provided that formally identifies the culprits, which is always very complicated with computer attacks - the famous problem of attribution.
Where are the vulnerabilities of the network?
As it adopts connected objects, the electrical network is diversifying and multiplies access points for attackers.According to Gabrielle Desarnaud's report, the first vulnerability is on the transport network itself. En2016, des chercheurs développaient un ver, PLC Blaster, capable de se reproduire et de se déplacer justement dans ce PLC (Power Line Carrier), qui diffuse à la fois du courant mais également des signaux pour que les automates connectés à cette ligne communiquent entre eux.When this line is infected, it can therefore compromise the automata present in the posts.
Then come the SCADA (Supervisory Control and Data Acquisition), the automated systems that monitor and control the equipment of a site centrally.If the Scada are made inoperative, a power plant becomes blind.This is the approach that Staxnet and Blackenergy used, each in their own way, by exploiting a flaw in a Siemens Scada.
Les habituelles vulnérabilités humaines – phishing, « watering hole»» (une technique utilisée par Dragonfly en2017 pour pénétrer les réseaux d’énergie britannique, qui imite un site Web sur lequel les employés d’une usine sont susceptibles de se rendre)- sont comme toujours à prendre en compte.Staxnet, for example, entered the ultra-secure complex of Natanz via a USB key transported by Iranian agents from the Mujahedeen-E-Khalq group (MEK), remote-controlled by Mossad.
Finally, the case of communicating meters is more shared. Si le déploiement de l’appareil se passe globalement bien en Europe, deux chercheurs espagnols ont déjà piraté un appareil de leur pays en2014. En France, les 35 millions de compteurs Linky prévus d’ici2021 restent pour le moment inviolés. « On a conçu des chaînes communicantes qui sont extrêmement sécurisées»», assure Jean-Claude Laroche, Directeur des systèmes d’information (DSI) chez Enedis (ex-ERDF)."We are at the highest level of communicating counting requirements.»» De fait, l’Anssi a très fortement encadré le fonctionnement du boîtier, au point que chaque compteur soit « évalué par des centres d’évaluation de la sécurité des technologies de l’information (CESTI) agréés par l’agence»», précisait Guillaume Poupard en mars.Sufficient ... for the moment.
The famous electrical counter communicating Linky.
Renewable, more modern energies ... and more exposed
On the side of renewable energy parks, the situation is more worrying.Unlike their fossil elders, these networks have been designed with connectivity in mind, which makes them more vulnerable to sabotage attacks.According to the demonstrations made over the past two years, solar panels and wind turbines would even be particularly simple to hack - a Raspberry Pi, a WiFi antenna, and it is done. La part du renouvelable dans la production d’énergie nationale a beau être minime (16 % en2016 en France, selon les chiffres du ministère), un piratage ne serait pas sans conséquence.
A wind turbine, taken near Oxford in England. // Source : Crédit : jonbgem via Flickr (CC2.0)
En2017, le chercheur hollandais Willem Waterhof découvrait21 vulnérabilités dans les onduleurs solaires connectés à Internet de l’allemand SMA, qui transforment le courant continu des panneaux en courant alternatif fourni au réseau. Dans son scénario publié en2017, appelé Horus, des pirates pourraient hacker ces onduleurs en très grand nombre pour contrôler un flux de plusieurs gigawatts d’électricité (actuellement, le solaire européen peut produire 100 gigawatts par an) voire le stopper, ce qui provoquerait l’arrêt de certains générateurs et causerait d’immenses coupures.A scenario far from being improbable: two years earlier, American regulators discovered that a wind turbine for individuals, the Xzeres 442SR, was connected to the Internet via an entirely open interface...
La France, un pays « avancé»» niveau cybersécurité
Despite all these risks, France is doing pretty well. De fait, explique Frédéric Cuppens, professeur à l’IMT Atlantique et porteur de la chaire cyber CNI le pays « n’a pas connu d’incident majeur»», et « l’exemple ukrainien incite les industriels français à se mettre à niveau.»» La France « est un pays avancé en la matière»», affirme de son côté Arnault Barichella, auteur d’un rapport de l’Ifri sur la question. Depuis la loi de Programmation militaire de2013, l’industrie de l’énergie fait (probablement) partie des259 organismes d’importance vitale (OIV) – la liste est classée « confidentiel défense»»- soumis à des règles de cybersécurité strictes, enrichies et précisées par un décret en2015.
En2016, la France est devenue le premier pays européen à émettre des arrêtés sectoriels, qui définissent encore plus précisément les règles de cybersécurité spécifiques à chaque industrie.ANSSI watches over the grain, and a company deemed non -compliant faces between 150,000 and 750,000 euros fine. RTE, de son côté, annonce dans son Bilan sûreté2017 avoir investi 144 millions d’euros dans les systèmes d’information en2016 et conduit un audit des systèmes jugé satisfaisant.
Beyond the ambitious legislative framework, French energy networks have security reflexes inherited from the analog era. « On repose sur des systèmes éprouvés depuis un certain nombre d’années»», rassure Jean-Claude Laroche, comme le cloisonnement des réseaux, la redondance des systèmes et sa résilience.The plan is already ready.In the event of a black scenario, details the CIO, "energy distribution networks must be prepared to operate without computer system (SI), in degraded mode, for a few weeks.For example, having pre -established broadcast lists on WhatsApp for managers can get you out of a difficult situation, just like strains of your SI on servers disconnected from everything.»»
La salle de contrôle de la centrale nucléaire de Madras (Inde), en2013.IT is very little present. // Source : Crédit : IAEA Imagebank, via Flickr (CC2.0)
This specifications are even more valid for nuclear: if the power plants are as safe, it is because the majority of them are still impermeable to digital, but more for a long time. Dans le cadre du programme « Grand Carénage»», de2014 à2025, EDF a entamé la création de « jumeaux numériques»» de chaque réacteur.Each clone, which costs around a million euros, will simulate failures and train staff.A way of quietly apprehending the digitization of the nuclear sector without endangering it.
Towards a harmonized European defense strategy
Overall, the sector is therefore ripe for cyberfense.It remains to improve on two aspects: time and space."The speed of the evolution of the threat to companies that have very large IT systems is the big question. On a engagé une espèce de course et de fait par rapport aux attaquants, il y a toujours un effet retard»», admet Jean-Claude Laroche.
To reduce the gap between industrial time and computer time, two solutions: form existing staff and initiate specialists in Cyber threats, capable of developing simulations and defense systems based on machine learning. « Notre sujet numéro 1 dans le cyber, c’est la question RH»», confirme Jean-Claude Laroche."We lack skills in these cyber fields.The skills offer is very much below needs.»»
Une salle de contrôle d’un réacteur à haute température expérimental refroidit au gaz, à l’université Tshinghua (Pékin), en juin2004. // Source : Crédit : IAEA Imagebank, via Flickr (CC2.0)
On the other hand, France will not be able to do anything alone.The strength of resilience of European networks, which lies in their interdependence, could also become a weakness."An attack on a very targeted system can spread beyond a given country, the borders will not allow anything.We did not have a concrete experiment to see how it could spread, "admits Frédéric Cuppens.
La législation européenne a commencé à se mettre à jour avec le « paquet d’hiver»» de novembre2016 et la directive SRI, qui pose les bases pour le développement de normes européennes de cybersécurité à destination des « opérateurs de services essentiels»» en leur imposant des critères communs. Un autre paquet de2017 propose lui un système de certification européen, régi par une entité régulatrice centrale (l’ENISA) qui se voit dotée d’un mandat permanent.An essential harmonization to avoid a disaster of continental magnitude, while "during cyber attacks in Ukraine, European companies were impacted, in particular through their subsidiaries and their subcontractors", recalls Arnault Barichella.Since no one seems to know how the European network would behave in the event of a massive attack, you might as well never have to discover it.