mardi 13 octobre 2015

Cyberattaque sur le BTC en 2008 : l'audit qui démonte la théorie


L'affaire s'était viralement répandue sur les réseaux sociaux et n'avait pas manqué chez les spécialistes et moins spécialistes de la chose cyber de réagir : le pipeline BTC (Bakou-Tbilissi-Ceyhan) aurait été la cible d'une cyberattaque russe.

Pour rappel des faits, expliquons déjà que l'oléoduc BTC fait près de 1 748 kilomètres, produit 1,2 million de barils/jour et traverse les pays de l'Azebaïdjan, de Géorgie et de Turquie. Les principaux actionnaires sont BP (30,1%), Chevron (8,90%), AzBTC (25%) et Statoil (8,71%). Les généreux gisements d'Azerbaïdjan en Mer Caspienne fournissant la matière première depuis l'ouverture des tuyaux en 2005. Mais ce projet c'est aussi une vaste machinerie complexe de huit stations de pompage, une station de réduction de la pression, de deux stations de nettoyage et de cent une valves de blocage.

Un rappel chiffré utile car en août 2008 se serait produit un incident d'une gravité conséquente en Turquie, précisément en relation avec l'acheminement du pétrole par ce BTC : l'explosion de la station 30. Ce n'est pas tant les conséquences de l'explosion en cause (aucun mort et remise en état en trois semaines) que le mode opératoire employé : une cyberattaque de deux ans antérieure à celle de Natanz en Iran. Un trop plein de pression provoqué par le dysfonctionnement de valves et de pompes grâce au piratage du réseau de caméras de sécurité.

L'édition du 10 décembre 2014 de Bloomberg énonce d'ailleurs que l'affaire datait de quelques années lorsqu'elle a refait surface près de six ans après après avoir été oubliée (la guerre du Donbass est encore en cours et Marioupol menacée de tomber aux mains des forces rebelles) : 
« The Turkish government publicly blamed a malfunction, Kurdish separatists claimed credit and BP Plc had the line running again in three weeks. The explosion that lit up the night sky over Refahiye, a town known for its honey farms, seemed to be forgotten. ».
Non sans ajouter : 
« It wasn’t. For western intelligence agencies, the blowout was a watershed event. Hackers had shut down alarms, cut off communications and super-pressurized the crude oil in the line ».
Difficile de savoir quelles sont ces fameuses agences de renseignement occidentales et pis, pourquoi ont-elles tant tardé à exposer leur explication sur le destin de la station 30 en 2008? La forensique est toujours longue mais de là à rouvrir un dossier six ans après... 
Mon collègue d'Echo Radar, Si Vis Pacem Para Bellum, avait traité en un billet le sujet non sans faire acte de circonspection :  
« La première raison d'être prudent concerne la source des fuites : des "services de renseignement" notamment Américains. Difficile de faire plus flou sinon nébuleux. La deuxième raison concerne l'absence de présentation d'une preuve tangible. ».


C'est bien là que le bât blessait : plusieurs analystes ont foncé la tête en avant en visant un coup monté des russes, d'autant que l'action aurait précédé de trois jours les opérations en Géorgie. Puisque le BTC alimentait aussi la Géorgie, l'accusation prenait corps. Sans compter que les relations souvent fraîches entre Moscou et Bakou renforçait un intérêt à frapper un circuit aussi stratégique. Le coupable était tout trouvé.

Sauf que...
Le quotidien bavarois Süddeutsche Zeitung révélait le 19 juin 2015 que la baudruche se devait d'être dégonflée car un audit interne au groupe BTC semble faire table rase de l'hypothèse russe.
En effet, le système de caméras incriminé n'a été installé qu'après cet évènement. Qui plus est, le circuit de communication des caméras est fermé et n'interfère en rien avec le centre de contrôle et de gestion des multiples paramètres du pipeline. Enfin pour clore le sujet, il n'existait pas de connexion radio ou wifi au sein de la station, d'où impossibilité de faire transiter le maliciel par cette voie comme il avait été hypothétiquement présenté.
Que s'est-il passé alors?
L'audit révèle que la piste la plus crédible est celle d'activistes kurdes qui ont déjà opéré par la passé des attaques sur des sites sensibles peu ou prou similaires, et qui disposent de l'expérience pour ce faire ainsi que d'un intérêt réel pour passer à l'acte. La présence de traces d'explosifs trouvées sur le site ne fait que conforter grandement cette réorientation de l'attribution. A fortiori quand les séparatistes kurdes ne manquèrent pas de revendiquer l'attaque lorsqu'elle eut lieu.
En définitive, ni cyberattaque, ni russes derrière cette affaire.

Pareille attribution n'est pas unique dans les annales de la cyberstratégie. Ainsi, Thomas Reed, qui exerça entre autres en tant que Secrétaire américain à l'armée de l'air, exposa dans son ouvrage At the Abyss: An Insider's History of the Cold War la survenance d'un fait similaire en Sibérie, sur le tracé du pipeline transibérien en octobre 1982. Une terrible explosion se serait produite, provoquant d'énormes dégâts matériels, en raison d'un trop plein de pression... provoqué par l'utilisation d'un logiciel de contrôle copié à l'étranger mais délibérément vicié par les services américains pour faciliter à dessein la survenance de catastrophes.
Or l'on sait depuis que le pipeline lancé rapidement était très loin d'être exempt de défauts, dont l'un se manifesta très tôt, en décembre 1983, lorsqu'un feu détruisit une partie du panneau électronique d'une station. De plus, et surtout, la partie soviétique/russe n'a jamais confirmé un tel évènement. Le chef du KGB de Tioumen dont l'une des prérogatives était justement la supervision et la sécurité des infrastructures stratégiques réfuta vigoureusement cette assertion, admettant qu'il y eut bien une explosion en 1982 mais dans un autre secteur et concernant un autre gazoduc, et que l'intensité fut bien plus limitée que celle décrite par l'auteur américain. Gazpromavtomatika, la société publique qui installa les logiciels à l'époque, réfuta de la même manière les propos sur cet incident.
Même le spécialiste des cyberattaques américain Jeffrey Carr a toujours été sceptique quant à cette éventualité.
Il n'en demeure pas moins que Stuxnet a prouvé la validité théorique de paralyser un site de production/transport en frappant les SCADA (supervisory control and data acquisition), PLC (programmable logic controllers) et DCS (distributed control systems).


Pour plus d'informations sur le BTC, se rendre sur le site de BP, le principal actionnaire du BTC :
http://www.bp.com/en_az/caspian/operationsprojects/pipelines/BTC.html
L'article du Süddeutsche Zeitung :
http://www.sueddeutsche.de/digital/tuerkei-ermittler-schliessen-cyberangriff-bei-pipeline-explosion-aus-1.2529345 
SANS Industrial Control System Security :
https://ics.sans.org/blog/2015/06/19/closing-the-case-on-the-reported-2008-russian-cyber-attack-on-the-btc-pipeline


Aucun commentaire: