Plongez dans les coulisses de l'attaque LockerGoga qui a paralysé Norsk Hydro. Un récit mêlant chaos industriel, résilience héroïque et leçons cruciales pour la cybersécurité OT.
Le réveil brutal d'un colosse
Le 19 mars 2019, le monde de l'industrie lourde a tremblé. Norsk Hydro, l'un des plus grands producteurs d'aluminium au monde, basé en Norvège, s'est retrouvé soudainement projeté à l'âge de pierre. Imaginez 35 000 employés dans 40 pays découvrant des écrans noirs ou, pire, des messages de demande de rançon en lettres capitales. Ce n'était pas une simple panne informatique de bureau, mais un arrêt cardiaque numérique touchant aussi bien la comptabilité que les fonderies.
L'attaque a été foudroyante. Les systèmes de commande des usines, qui gèrent la fusion de l'aluminium à des températures extrêmes, ont commencé à perdre la connexion avec leurs centres de contrôle. Pour un géant qui produit chaque année des millions de tonnes de métal, chaque minute de paralysie se chiffrait en centaines de milliers d'euros de pertes. Le chaos était total, forçant les ingénieurs à passer en mode manuel pour éviter que le métal en fusion ne fige dans les cuves, ce qui aurait causé des dommages irréversibles.
LockerGoga : L'anatomie du tueur numérique
Le coupable a rapidement été identifié : le ransomware LockerGoga. Contrairement à d'autres virus qui se propagent de manière aléatoire comme une grippe, LockerGoga a été déployé avec une précision chirurgicale après que les attaquants ont infiltré le réseau via un simple email de phishing. Une fois à l'intérieur, ils ont utilisé des outils d'administration légitimes pour diffuser le virus sur tout le parc informatique, comme un cheval de Troie utilisant les propres clés de la forteresse.
Techniquement, LockerGoga est particulièrement vicieux. Non seulement il chiffre les fichiers, mais il déconnecte également les utilisateurs de leurs sessions et modifie leurs mots de passe, empêchant toute tentative de reprise en main immédiate. Il ne cherche pas à se cacher : il détruit la structure même de gestion des comptes de l'entreprise (l'Active Directory). Pour les experts en ANSSI, ce cas reste une référence absolue en matière de compromission d'infrastructure d'envergure mondiale.
La résistance : Du papier, des crayons et de la sueur
C'est ici que l'histoire devient fascinante. Plutôt que de céder au chantage et de payer les millions demandés, Norsk Hydro a choisi la transparence totale. Alors que leurs serveurs étaient HS, ils ont communiqué via Facebook et des conférences de presse quotidiennes. Dans les usines, les retraités ont été rappelés pour enseigner aux plus jeunes comment piloter les machines à l'ancienne, sans l'aide des logiciels. On a ressorti les vieux carnets de notes et les fax pour commander les matières premières.
Cette résilience « analogique » a sauvé l'entreprise. Bien que l'attaque ait coûté plus de 60 millions d'euros, Norsk Hydro a gagné le respect de la communauté internationale pour son intégrité. Ils ont refusé de financer le cybercrime, préférant reconstruire chaque serveur, un par un, à partir de sauvegardes saines. C'est une épopée humaine autant que technique, montrant que face au code malveillant, le facteur humain reste le dernier rempart.
Les leçons d'un naufrage évité
Quelles leçons tirer pour votre propre entreprise ? D'abord, la séparation stricte entre le réseau bureautique (IT) et le réseau industriel (OT) est indispensable. Si un virus entre par un email, il ne doit jamais pouvoir atteindre les machines de production. Ensuite, la gestion des sauvegardes « hors-ligne » est votre seule assurance vie. Si vos sauvegardes sont connectées au réseau, le ransomware les mangera en premier pour s'assurer que vous n'avez d'autre choix que de payer.
Enfin, l'histoire de Norsk Hydro prouve que la préparation est la clé. Avoir un plan de continuité d'activité qui prévoit de fonctionner sans informatique n'est plus une paranoïa, c'est une nécessité stratégique. Pour en savoir plus sur les bonnes pratiques de protection des systèmes industriels, n'hésitez pas à consulter le site officiel de Norsk Hydro qui a partagé de nombreux retours d'expérience sur cette crise sans précédent.