Un logiciel malveillant a attaqué un système de sécurité industriel commercialisé par Schneider Electric

Un système de sécurité industriel, commercialisé par Schneider Electric, a été piraté mi-décembre grâce à un logiciel malveillant sur un site industriel où il était installé, et le groupe français continuait ce jeudi 18 janvier à travailler pour écarter tout nouveau risque. Le système de sécurité de Schneider Electric, baptisé Triconex, permet notamment à un site industriel de s'arrêter en urgence si nécessaire.

Il est installé sur environ 15.000 sites dans 80 pays, indique Schneider Electric sur son site internet et équipe notamment des installations pétrolières et gazières, chimiques, ou énergétiques. "Nous avons été mis au courant d'un incident sur le système Triconex d'un de nos clients", a indiqué un porte-parole de Schneider à l'AFP, sans préciser de quel site il s'agit. Selon la société américaine d'analyse des cybermenaces Dragos, l'attaque s'est produite au Moyen-Orient.

Cet incident est "apparemment isolé" et "n'est pas dû à une vulnérabilité du système Triconex ou de son code", explique Schneider Electric dans une notification à destination de ses clients. Selon la société américaine de cybersécurité Fire Eye, qui a analysé le logiciel malveillant --baptisé Triton ou Trisis--, l'attaquant a réussi à prendre le contrôle d'un poste de travail qui commandait à distance le système de sécurité et "a déployé Triton pour reprogrammer" le système de sécurité.

"Atténuer les risques de ce type d'attaque"

Toutefois, un événement imprévu durant le processus de piratage a arrêté le site industriel, alors que selon Fire Eye l'attaquant "cherchait à faire des dommages matériels".

"Triconex a répondu du manière appropriée", explique le groupe français. "Nous travaillons étroitement avec nos clients, des organisations indépendantes de cyber-sécurité et ICS-Cert (agence gouvernementale américaine, ndlr) pour enquêter et atténuer les risques de ce type d'attaque", indique Schneider Electric.

Le groupe dit aussi "finaliser un renforcement de la sécurité" de son système avec "un outil permettant de détecter la présence du logiciel malveillant (...) et de le supprimer s'il est détecté". Le groupe conseille aussi à ses clients de suivre les recommandations d'utilisation de Triconex. Pour Fire Eye, cette action pourrait avoir été menée par un État.