Brève : TRITON, un malware aussi important que Stuxnet
Date : 07 Mai 2018
TRITON (aussi appelé « TRISIS » ou « Hatman ») est un malware découvert fin 2017 et qui s’attaque aux automates de sureté industrielle Triconex de Schneider Electric. Il est désormais considéré comme un événement aussi important pour le monde des systèmes industriels que Stuxnet. En effet il a d’abord été révélé en mars 2018 (voir cet article du New York Times) que TRITON avait probablement pour but de causer un incident majeur sur des installations pétrochimiques en Arabie Saoudite et que cet incident aurait sans doute entrainé la mort d’hommes. Les analystes ont à cette époque indiqué que l’Iran était le suspect le plus probable. Fin mai 2018, la société Dragos (voir ce commentaire Twitter) et le site d’actualité CyberScoop.com (voir cet article) ont annoncé que cette attaque n’était pas un cas isolé, et que des attaques du même type et du même groupe d’attaquants (que Dragos baptise « Xenotime ») avaient aussi été détectées dans des tentatives visant des sites industriels aux Etats-Unis. Apparemment, ces attaques ne visaient pas cette fois Triconex, mais concernaient d’autres marques de systèmes de sûreté industrielle.
Cette nouvelle est très inquiétante car viser les systèmes de sûreté signifie que l’attaquant cherche à provoquer un incident industriel. Un palier majeur a donc été franchi en termes de risques pour les cyber-attaques visant le monde industriel.
Nota : TRITON est suivi par le Cert-IST au moyen de la fiche attaque CERT-IST/ATK-2017.153