Nouvelle cyberattaque contre des géants pétroliers
Plusieurs groupes saoudiens sont l’objet d’une attaque informatique majeure. Les analystes en cybersécurité y voient la main de l’Iran, comme en 2012.
Les experts l’ont surnommé Shamoon en référence à une « signature » identifiée dans l’une de ses lignes de code. Le programme informatique malveillant (malware) qui avait ciblé en août 2012 le géant pétrolier Saudi Aramco, détruisant à l’époque des dizaines de milliers de postes de travail de l’entreprise, semble avoir repris du service (le virus Shamoon avait détruit 35 000 postes informatiques en août 2012 en Arabie saoudite). Repéré par les ingénieurs du groupe Symantec en novembre, ce virus informatique, également baptisé Disttrack, s’est propagé cet hiver sur les réseaux de plusieurs entités saoudiennes. Une quinzaine de cibles ont été recensées. La plupart d’entre elles sont des multinationales spécialisées dans l’exploitation ou la distribution d’hydrocarbures (pétrole ou gaz). Mais, parmi elles, figurent également plusieurs agences gouvernementales.
Lundi 23 janvier, le ministère de l’Intérieur saoudien a émis un message d’alerte à destination de l’ensemble des administrations et des entreprises publiques du royaume les incitant à la plus grande prudence. Selon le groupe d’analyse Unit 42 de Palo Alto, le malware aurait été légèrement modifié depuis 2012. La nouvelle version du virus Shamoon serait « armée » pour dérober des données confidentielles et effacer les traces de son passage, mais aussi, et surtout, pour détruire en profondeur les systèmes d’exploitation et les serveurs sur lesquels sont archivées les datas des groupes visés. Une affirmation qui n’est pas pour rassurer. L’ancien secrétaire d’État à la Défense Leon Panetta avait, de fait, déclaré que « l’attaque de 2012 [avait] été la plus destructrice de l’histoire de l’Internet ».
La cible ? Un complexe pétrolier ultramoderne
Le porte-parole de la société Sadara, filiale de la Saudi Arabian Oil Company, visée par ce malware, Sami Amin, se veut néanmoins rassurant. « L’attaque n’a pas altéré notre activité », a-t-il déclaré dans un communiqué. Les autres entreprises ciblées, majoritairement situées dans le complexe pétrolier d’Al Jubayl (province d’Ach-Charqiya), à 460 kilomètres au nord-est de la capitale Riyad, n’ont émis aucun commentaire. Le complexe pétrolier de Jubail est une installation flambant neuve et ultra-sécurisée. Inauguré en novembre dernier par le roi Salman, il rassemble 26 usines pétrochimiques, susceptibles de produire trois millions de tonnes de plastique et de produits chimiques par an.
En 2012, les experts américains, dépêchés sur place, avaient attribué la paternité de l’attaque à Téhéran et indiqué qu’il pouvait s’agir d’une riposte à l’attaque informatique américano-israélienne Stuxnet qui avait neutralisé des dizaines de centrifugeuses du programme de recherche nucléaire iranien. Le Qatar, Bahreïn et les Émirats arabes unis redoutent désormais que la version de Shamoon 2 ne se propage dans l’ensemble de la péninsule arabique.
Par Baudouin Eschapasse
LePoint.fr