Comment des box françaises ont été mises hors service par une cyberattaque russe

Comment des box françaises ont été mises hors service par une cyberattaque russe

Il va sûrement falloir changer les box des opérateurs Nordnet et Bigblu. Elles sont en panne depuis deux semaines à la suite d’une cyberattaque massive contre le service d’accès à Internet fourni par le satellite geostationnaire KA-SAT. 10 000 utilisateurs français environ seraient concernsés.

Nordnet an annoncé le 10 mars prendre contact avec chaque client et n’écarte désormais plus la perspective de remplacer les boîtiers.

Bigblu devrait probablement faire de même, d’après des informations affichées sur son site le 7 mars dernier.

« Nous prévoyons de fournir du matériel de remplacement aux clients concernsés. Ce matériel sera aussi accompagné d’instructions précises pour effectuer une remise en service. Nous vous communiquerons les délais dans les prochains jours », peut-on lire sur une page dédiée.

Le satellite reste en état de marche

A 36 000 kilomètres au-dessus de la Terre, le satellite KA-SAT n’a pas été touché. C’est le réseau au sol de son proprietaire américain Viasat qui a été ciblé et qui a mis hors service les modems des utilisateurs. Ils ne fonctionnent plus malgré les efforts des opérateurs commerciaux pour les redémarrer à distance. Ces box sont ce qu’on appelle brickeyessoit inutilisables, comme des témoignages déposés dans les forums du site LaFibreinfo en attestent.

Il faudrait intervenir physiquement sur l’appareil et dessouder la puce du modem. Trop cher et trop compliqué pour les opérateurs. D’où l’idée de procéder à leur remplacement.
Toujours d’après LaFibreinfoles box qui n’étaient pas connectées au réseau au moment de l’attaque parviendraient à se connecter sans problème à Internet grâce à KA-SAT.

Un dommage collatéral des manoeuvres russes

Cette situation ne serait qu’un dommage collatéral d’une cyberattaque émanant probablement des Russes et ciblant l’Ukraine.

« Nous ne disposons pas d’éléments précis. Mais nous avons de fortes présomptions »a déclaré le secrétaire d’Etat au numérique Cédric O lors d’un point presse cette semaine.

C’est au petit matin, le jeudi 24 février, que le problème a commencé.

« Cela correspond exactement au début de l’invasion russe. Cela ne peut pas être une coïncidence. Si vous avez un malware en attente, c’est l’occasion ou jamais de l’exploiter à ce moment-là. Cela fait partie des tous premiers objectifs »nous fait observer Thierry Berthier, enseignant chercheur en cyberdéfense et cybersécurité.

Lancé en décembre 2010 et opérationnel depuis mai 2011, le satellite KA-SAT fut le premier ayant principalement pour vocation à fournir du haut débit à destination des entreprises comme des particuliers mais aussi de militaires. Il nécessite de disposer d’une antenne parabolique Tooway et d’un modem pour accéder à Internet. Le service est utilisé dans toute l’Europe et à ses marges, comme son extrémité Est. Il est notamment plébiscité en Ukraine. Ce pays plus grand que la France ne dispose pas de fiber optique sur tout son territoire et a recours aux satellites pour compléter sa couverture.

En voulant neutraliser des communications ukrainiennes, les Russes auraient pris le risque d’endommager dans le même temps les terminaux utilisés par des citoyens de plusieurs pays européens membres de l’OTAN : France, Allemagne Italie, Porie, Grè.

72 000 terminaux concernés en Europe

Comme le Commandant français de l’Espace, Michel Friedling, l’a précisé lors d’une conférence de presse le 3 mars dernier, seul le réseau civil de Viasat a été touché en France.

« Plusieurs dizaines de milliers de terminaux ont été endommagés, rendus inopérants et probablement irréparables »a déclaré le commandant depuis Toulouse.

D’après nos informations, plus de 72 000 utilisateurs seraient concernés en Europe. Et au moins 3 000 éoliennes auraient été touchées en Allemagne, d’après le journal Der Spiegel. Elles continuent à fournir de l’énergie, mais ne peuvent plus être commandées à distance.

On ne peut émettre que des hypothèses

Viasat, Nordnet ou Eutelsat, tous les acteurs concernés restent extrêmement disccrets sur le déroulé des faits. En absence de données suffisantes rendues publiques, on ne peut qu’établir des hypothèses sur ce qui s’est passé.

« Il est possible d’écarter deux scénarios. Celui de l’envoi d’un blast, une émission d’ondes électromagnétiques. Parce que cela aurait tout fait griller y compris les ordinateurs et de façon uniquement locale »nous indique Thierry Berthier.
« On peut aussi éliminer l’hypothèse d’une attaque DDoS car ses effets auraient été temporaires, ce qui n’est pas le cas ici ».

Le chercheur en sécurité Ruben Santamarta est notamment spécialiste notamment des terminaux Satcom. Il a écrit en 2014 et en 2018 des articles sur leurs vulnérabilités pour la célèbre conférence Black Hat. Il retient deux possibilités sur son site Reversemode.

La première serait celle d’une faille zero-day.

« Une vulnérabilité exploitable à distance dans un terminal SATCOM, en plus d’une mauvaise configuration réseau du fournisseur de satellite, est un scénario tout à fait réalisable qui peut être exploité à une certaine échelle »écrit-il.

Malgré tout, ce n’est pas la thèse qu’il privilégie.

A découvrir aussi en vidéo :

Des commandes destructrices envoyées aux modems

Ruben Santamarta penche plutôt pour la compromission d’un center d’opérations du réseau (NOC) ou d’un téléport (une station terrestre du satellite). Nous avions pu visiter celui de Rambouillet à l’époque où Eutelsat était encore proprietaire du satellite KA-SAT.

En usurpant l’un ou l’autre, les hackers auraient fait émettre des commandes aux terminaux dans le but de les endommager définitivement. Ils ont pu demander, par exemple, à désactiver l’émetteur, corrompre le pointage de l’antenne, ou encore les paramètres de l’alimentation.

On attendant maintenant que Viasat reprenne la parole avec davantage de précisions, sachant que la société a fait appel à un acteur tiers de la cybersécurité pour enquêter sur les faits, en plus des investigations menées par les autoritésé.

Interrogés à ce sujet à l’occasion de la réunion informelle des ministres européens des Télécoms cette semaine, le commissaire européen Thierry Breton a évacué le sujet. Il serait tenu à un devoir de réserve.

« Nous ne confirmons ou n’infirmons pas ce qui se passe sur un théâtre d’opération (..) a dit Viasat : il s’agit vraisemblablement d’une attaque cyber ».

Mais cet événement est un véritable signal d’alarme pour les pays membres qui ont annoncé vouloir renforcer la résilience de leurs communications.

Sources: conférence de presse du ministère des Armées, article de Ruben Santamarta, LaFibreinfo, Der Spiegel, Bigblu

Leave a Comment

Your email address will not be published.