Passer au contenu

Comment des box françaises ont été mises hors service par une cyberattaque russe

Des milliers de modems français connectés au service de Viasat ont été endommagés au début de l’offensive russe en Ukraine. Ce n’est pas le satellite KA-SAT, mais le réseau au sol qui a failli à cause d’une attaque logicielle. 

Il va sûrement falloir changer les box des opérateurs Nordnet et Bigblu. Elles sont en panne depuis deux semaines à la suite d’une cyberattaque massive contre le service d’accès à Internet fourni par le satellite géostationnaire KA-SAT. 10 000 utilisateurs français environ seraient concernés.

Nordnet a annoncé le 10 mars prendre contact avec chaque client et n’écarte désormais plus la perspective de remplacer les boîtiers.

Bigblu devrait probablement faire de même, d’après des informations affichées sur son site le 7 mars dernier.

« Nous prévoyons de fournir du matériel de remplacement aux clients concernés. Ce matériel sera aussi accompagné d’instructions précises pour effectuer une remise en service.  Nous vous communiquerons les délais dans les prochains jours », peut-on lire sur une page dédiée.

Le satellite reste en état de marche

A 36 000 kilomètres au-dessus de la Terre, le satellite KA-SAT n’a pas été touché. C’est le réseau au sol de son propriétaire américain Viasat qui a été ciblé et qui a mis hors service les modems des utilisateurs. Ils ne fonctionnent plus malgré les efforts des opérateurs commerciaux pour les redémarrer à distance. Ces box sont ce qu’on appelle brickées, soit inutilisables, comme des témoignages déposés dans les forums du site LaFibreinfo en attestent.

Il faudrait intervenir physiquement sur l’appareil et dessouder la puce du modem. Trop cher et trop compliqué pour les opérateurs. D’où l’idée de procéder à leur remplacement.
Toujours d’après LaFibreinfo, les box qui n’étaient pas connectées au réseau au moment de l’attaque parviendraient à se connecter sans problème à Internet grâce à KA-SAT.

Un dommage collatéral des manoeuvres russes

Cette situation ne serait qu’un dommage collatéral d’une cyberattaque émanant probablement des Russes et ciblant l’Ukraine.

« Nous ne disposons pas d’éléments précis. Mais nous avons de fortes présomptions », a déclaré le secrétaire d’Etat au numérique Cédric O lors d’un point presse cette semaine.

C’est au petit matin, le jeudi 24 février, que le problème a commencé.

« Cela correspond exactement au début de l’invasion russe. Cela ne peut pas être une coïncidence. Si vous avez un malware en attente, c’est l’occasion ou jamais de l’exploiter à ce moment-là. Cela fait partie des tous premiers objectifs », nous fait observer Thierry Berthier, enseignant chercheur en cyberdéfense et cybersécurité.

Lancé en décembre 2010 et opérationnel depuis mai 2011, le satellite KA-SAT fut le premier ayant principalement pour vocation à fournir du haut débit à destination des entreprises comme des particuliers mais aussi de militaires. Il nécessite de disposer d’une antenne parabolique Tooway et d’un modem pour accéder à Internet. Le service est utilisé dans toute l’Europe et à ses marges, comme son extrémité Est. Il est notamment plébiscité en Ukraine. Ce pays plus grand que la France ne dispose pas de fibre optique sur tout son territoire et a recours aux satellites pour compléter sa couverture.

En voulant neutraliser des communications ukrainiennes, les Russes auraient pris le risque d’endommager dans le même temps les terminaux utilisés par des citoyens de plusieurs pays européens membres de l’OTAN : France, Allemagne, Grèce, Pologne, Italie ou encore Hongrie.

72 000 terminaux concernés en Europe

Comme le Commandant français de l’Espace, Michel Friedling, l’a précisé lors d’une conférence de presse le 3 mars dernier, seul le réseau civil de Viasat a été touché en France.

« Plusieurs dizaines de milliers de terminaux ont été endommagés, rendus inopérants et probablement irréparables », a déclaré le commandant depuis Toulouse.

D’après nos informations, plus de 72 000 utilisateurs seraient concernés en Europe. Et au moins 3 000 éoliennes auraient été touchées en Allemagne, d’après le journal Der Spiegel. Elles continuent à fournir de l’énergie, mais ne peuvent plus être commandées à distance.

On ne peut émettre que des hypothèses

Viasat, Nordnet ou Eutelsat, tous les acteurs concernés restent extrêmement discrets sur le déroulé des faits. En absence de données suffisantes rendues publiques, on ne peut qu’établir des hypothèses sur ce qui s’est passé.

« Il est possible d’écarter deux scénarios. Celui de l’envoi d’un blast, une émission d’ondes électromagnétiques. Parce que cela aurait tout fait griller y compris les ordinateurs et de façon uniquement locale », nous indique Thierry Berthier.
« On peut aussi éliminer l’hypothèse d’une attaque DDoS car ses effets auraient été temporaires, ce qui n’est pas le cas ici ».

Le chercheur en sécurité Ruben Santamarta est notamment spécialiste notamment des terminaux Satcom. Il a écrit en 2014 et en 2018 des articles sur leurs vulnérabilités pour la célèbre conférence Black Hat. Il retient deux possibilités sur son site Reversemode.

La première serait celle d’une faille zero-day.

« Une vulnérabilité exploitable à distance dans un terminal SATCOM, en plus d’une mauvaise configuration réseau du fournisseur de satellite, est un scénario tout à fait réalisable qui peut être exploité à une certaine échelle », écrit-il.

Malgré tout, ce n’est pas la thèse qu’il privilégie.

A découvrir aussi en vidéo :

 

Des commandes destructrices envoyées aux modems

Ruben Santamarta penche plutôt pour la compromission d’un centre d’opérations du réseau (NOC) ou d’un téléport (une station terrestre du satellite). Nous avions pu visiter celui de Rambouillet à l’époque où Eutelsat était encore propriétaire du satellite KA-SAT.

En usurpant l’un ou l’autre, les hackers auraient fait émettre des commandes aux terminaux dans le but de les endommager définitivement. Ils ont pu demander, par exemple, à désactiver l’émetteur, corrompre le pointage de l’antenne, ou encore les paramètres de l’alimentation.

On attend maintenant que Viasat reprenne la parole avec davantage de précisions, sachant que la société a fait appel à un acteur tiers de la cybersécurité pour enquêter sur les faits, en plus des investigations menées par les autorités de chaque pays concerné.

Interrogés à ce sujet à l’occasion de la réunion informelle des ministres européens des Télécoms cette semaine, le commissaire européen Thierry Breton a évacué le sujet. Il serait tenu à un devoir de réserve.

« Nous ne confirmons ou n’infirmons pas ce qui se passe sur un théâtre d’opération (..) Nous savons tous que les infrastructures satellitaires peuvent être des cibles (..) Nous n’avons a rien à rajouter à ce qu’a dit Viasat : il s’agit vraisemblablement d’une attaque cyber ».

Mais cet événement est un véritable signal d’alarme pour les pays membres qui ont annoncé vouloir renforcer la résilience de leurs communications.

Sources : conférence de presse du ministère des Armées, article de Ruben Santamarta, LaFibreinfo, Der Spiegel, Bigblu

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.

Amélie CHARNAY
Les dernières actualités
Apple Iphone 16 Plus Test (9)
Plusieurs mises à jour de sécurité importantes pour iOS et les autres systèmes d’exploitation d’Apple
Fuite Données France
Cyberattaques en France : les dernières fuites de données et entreprises touchées
Hopitaux Cyberattaques
Les dossiers médicaux de 750 000 Français ont été piratés
Test Samsung Galaxy Watch 6
Samsung commence à livrer Wear OS 5 pour ses montres Galaxy
Godeal24
Des licences Windows 10 et 11 à partir de 10€, c’est maintenant ou jamais
Meta Quest 3 Microsoft
Les casques Quest se transforment en bureaux virtuels Windows 11
Windows 365 Link Microsoft
Le tout petit PC de Microsoft pour accéder à Windows dans le cloud
Cable Sous Marin Fibre Optique
Deux câbles sous-marins cèdent coup sur coup en Europe : le point sur la situation
Top téléchargements