La Pologne a-t-elle frôlé un black-out national? Une cyberattaque attribuée à des hackers russes a visé le réseau électrique avec un puissant logiciel malveillant "wiper" inédit

Nouvelle ligne de front entre l’Europe et la Russie, la Pologne est de plus en plus confrontée à des menaces hybrides venues de l’Est. Incursions répétées de drones russes à proximité de ses frontières, présence renforcée des forces russes et biélorusses: Varsovie fait face à un environnement sécuritaire sous tension permanente. À ces défis militaires et diplomatiques s’ajoute désormais... une guerre numérique de plus en plus visible, ciblant directement ses infrastructures critiques.

Des chercheurs ont ainsi révélé vendredi que le réseau électrique polonais avait été visé par un logiciel malveillant de type "wiper", probablement déployé par des hackers liés à l’État russe, avec pour objectif de perturber la distribution d’électricité. Selon Reuters et Ars Technica, l’attaque, survenue à la fin du mois de décembre, cherchait à désorganiser les communications entre les installations d’énergies renouvelables et les gestionnaires du réseau.

Elle a finalement échoué pour des raisons "non précisées", mais illustre la montée en puissance des offensives cyber dans le bras de fer entre Moscou et les pays du flanc oriental de l’Union européenne. Le ministre polonais de l’Énergie, Milosz Motyka, a dénoncé "l’attaque la plus violente" visant les infrastructures énergétiques du pays depuis des années, tandis que Varsovie pointe directement la responsabilité de Moscou.

D’après les médias locaux, l’opération aurait pu priver de chauffage et d’électricité jusqu’à un demi-million de foyers. La société de cybersécurité ESET a par ailleurs indiqué avoir mis la main sur une copie du malware destructeur, baptisé "DynoWiper": un logiciel conçu pour effacer définitivement les données et rendre les systèmes informatiques inopérants.

Pirates informatiques proche du GRU?

ESET a attribué le logiciel malveillant avec un "degré de confiance moyen" au groupe de pirates informatiques connu sous le nom de Sandworm, une unité du GRU, l'agence de renseignement militaire russe, en se basant sur un "fort chevauchement" avec ses recherches précédentes sur les logiciels malveillants utilisés par Sandworm, notamment l'utilisation par le groupe de logiciels malveillants destructeurs pour cibler le secteur énergétique ukrainien.

Le groupe Sandworm, réputé pour ses cyberattaques destructrices menées au service du Kremlin, s’est notamment illustré en Ukraine en décembre 2015, lorsqu’une offensive a privé environ 230.000 personnes d’électricité pendant près de six heures, en plein hiver. Les hackers avaient infiltré les systèmes des compagnies électriques avec le malware BlackEnergy, provoquant la première panne de courant connue causée par une cyberattaque.

Des cibles récurrentes

Les logiciels de suppression de données constituent depuis longtemps l'une des signatures des cyberopérations russes. En 2022, le wiper AcidRain avait paralysé 270.000 modems satellites en Ukraine, tandis que le groupe Sandworm a multiplié ce type d’attaques contre des infrastructures critiques, dans la continuité du précédent majeur NotPetya en 2017, qui avait causé près de 10 milliards de dollars de dégâts à l’échelle mondiale. Les raisons de l’échec de DynoWiper à provoquer une panne électrique restent inconnues: il pourrait s’agir soit d’un signal politique délibérément limité, soit d’une neutralisation efficace par les défenses cyber polonaises.