Saudi Aramco et Shamoon

Le 15 août 2012, en plein mois de Ramadan, alors qu’une fraction importante du personnel de Saudi Aramco est chez elle, un malware ensuite baptisé Shamoon commence à s’exécuter sur le réseau Windows d’entreprise. Le temps que les équipes informatiques réagissent, environ trente mille postes de travail ont été effacés — disques réécrits, secteurs de démarrage remplacés par l’image d’un drapeau américain en flammes.

Un message, pas un casse

Shamoon n’est pas du renseignement. Il exfiltre peu de valeur. Son but est la destruction : effacer autant de disques que possible dans une seule rafale coordonnée, et laisser derrière une signature pensée pour être photographiée. Un groupe se présentant comme la Cutting Sword of Justice revendique l’opération et énumère des griefs liés à la politique étrangère saoudienne.

Les autorités américaines et des chercheurs extérieurs attribuent l’opération à l’Iran, la présentant comme une riposte à Stuxnet et aux opérations cyber occidentales contre des programmes iraniens. Le signal technique soutenant cette attribution est moins propre que ses auteurs ne l’auraient sans doute voulu ; le malware contient des chaînes de débogage et des erreurs de procédure qu’un opérateur plus discipliné aurait rattrapées.

Une longue ombre

Un quasi-clone réapparaît en 2016 (Shamoon 2) contre plusieurs organisations d’États du Golfe, puis en 2018 contre le sous-traitant pétrolier italien Saipem. Chaque itération rappelle que les wipers destructifs, une fois écrits, restent dans la boîte à outils mondiale.

Ce que la chronique retient

Shamoon est l’étude de cas qui a inscrit la destruction d’entreprise par voie cyber sur la carte géopolitique. Elle a rendu clair que la question d’un RSSI chez un grand énergéticien n’est pas seulement de savoir si les attaquants veulent les données, mais s’ils veulent que l’entreprise continue de fonctionner.