Triton / Trisis

À l’été 2017, une installation pétrochimique en Arabie saoudite s’arrête de manière inattendue. La première enquête traite cela comme une panne mécanique. L’usine redémarre. Des mois plus tard, elle s’arrête de nouveau. La seconde fois, les enquêteurs forensiques trouvent un malware sur le poste d’ingénierie qui configurait les systèmes instrumentés de sécurité Triconex de l’usine.

La dernière ligne de défense

Un système instrumenté de sécurité, ou SIS, est le composant qui existe pour faire exactement une chose : quand les conditions du procédé dépassent les limites sûres, ramener l’usine à un état sûr — éventer, dépressuriser, arrêter — avant que quoi que ce soit ne prenne feu ou ne se rompe. Il est, par conception, indépendant du système de contrôle normal, précisément pour qu’une défaillance du système de contrôle ne puisse pas emporter avec elle le système de sécurité.

Le malware, nommé Triton (aussi Trisis), était écrit pour reprogrammer ces contrôleurs Triconex. Les chercheurs ont conclu que l’objectif des attaquants était de désactiver ou de subvertir le système de sécurité afin qu’une manipulation séparée et future du procédé puisse aller jusqu’à la catastrophe physique sans que le SIS n’intervienne. Les arrêts de l’usine semblent avoir été un accident — un bug dans le code même des attaquants qui a déclenché les contrôleurs de sécurité qu’ils tentaient de compromettre.

Le gouvernement américain a ensuite attribué Triton à un institut de recherche étatique russe.

Ce que la chronique retient

Triton est le premier malware connu conçu spécifiquement pour cibler un système instrumenté de sécurité — la couche dont le mode de défaillance n’est pas la perte de données mais la perte de vies. Il a fait passer le pire scénario de la cybersécurité industrielle de « la production s’arrête » à « ce qui empêche les explosions ne fonctionne plus », et a remodelé la façon dont les réseaux SIS sont isolés et surveillés.