Une attaque inédite par malware wiper a visé le réseau électrique polonais

 (arstechnica.com)
2 points par GN⁺ 2026-01-26 | 1 commentaires | Partager sur WhatsApp
  • Le réseau électrique polonais a été visé par une attaque au nouveau malware wiper (DynoWiper), probablement liée à la Russie, mais l’alimentation en électricité n’a pas été perturbée
  • L’attaque a eu lieu fin décembre 2025 et est considérée comme une tentative de perturber les communications entre les installations d’énergie renouvelable et les opérateurs de distribution
  • L’entreprise de sécurité ESET a analysé ce malware comme un wiper destructeur qui efface définitivement les données, avec des tactiques et techniques similaires à celles du groupe de hackers soutenu par l’État russe Sandworm
  • Cette attaque a été menée à l’occasion du 10e anniversaire du piratage du réseau électrique ukrainien de 2015, un incident qui avait alors provoqué une coupure de courant de 6 heures pour environ 230 000 personnes
  • DynoWiper n’est pas parvenu à provoquer une véritable coupure d’électricité, mais l’incident remet en lumière les capacités de cyberattaque de la Russie et la vulnérabilité des infrastructures énergétiques européennes

Attaque par malware wiper visant le réseau électrique polonais

  • Des chercheurs indiquent que le réseau électrique polonais a été la cible d’une attaque par malware wiper, probablement déployée par des hackers étatiques russes
    • L’attaque est analysée comme une tentative de perturber les opérations liées à l’approvisionnement en électricité
    • Reuters a rapporté que la cyberattaque s’est produite pendant la dernière semaine de décembre et qu’elle cherchait à brouiller les communications entre les installations d’énergie renouvelable et les opérateurs de distribution, sans y parvenir
  • Le malware utilisé dans l’attaque a été baptisé DynoWiper et vise à paralyser totalement les opérations en supprimant définitivement le code et les données des serveurs
  • Après analyse des tactiques, techniques et procédures (TTP), ESET a indiqué relever de fortes similitudes avec les activités passées du groupe Sandworm APT, et attribue l’attaque à Sandworm avec un niveau de confiance moyen (medium confidence)

Précédents de Sandworm

  • Sandworm est un groupe de piratage réputé soutenu par le Kremlin, avec un historique de cyberattaques destructrices menées à plusieurs reprises
    • En décembre 2015, l’attaque contre le réseau électrique ukrainien a provoqué une coupure de courant de 6 heures pour environ 230 000 personnes, considérée comme la première panne d’électricité causée par un malware
    • Le malware BlackEnergy utilisé à l’époque avait infiltré les systèmes SCADA et exploité des fonctions légitimes pour interrompre la distribution d’électricité
  • ESET souligne que l’attaque en Pologne a eu lieu à l’occasion du 10e anniversaire de cet incident
  • Les hackers russes ont déjà fait un usage répété de malwares wiper sur mesure par le passé
    • En 2022, le wiper AcidRain a neutralisé 270 000 modems satellite en Ukraine
    • En 2025, plusieurs cas de déploiement de wipers visant des universités et des infrastructures critiques ont été signalés

NotPetya et l’historique des wipers russes

  • L’exemple le plus célèbre de l’usage de wipers par la Russie reste NotPetya en 2017, initialement dirigé contre l’Ukraine avant de se propager dans le monde entier
    • L’attaque a causé environ 10 milliards de dollars de dégâts aux gouvernements et entreprises du monde entier
    • NotPetya est considéré comme l’incident de cyberintrusion le plus coûteux de l’histoire

Pourquoi DynoWiper a échoué

  • La raison de l’échec de DynoWiper à provoquer une coupure d’électricité n’a pas été clairement établie
    • L’article évoque deux possibilités
      • La Russie a peut-être volontairement limité l’attaque afin d’éviter une réponse directe d’alliés de la Pologne
      • Ou bien les systèmes de cyberdéfense ont pu bloquer l’exécution du malware
  • Aucun détail technique supplémentaire ni information complémentaire sur l’ampleur des dommages n’a été rendu public

Signification de l’incident

  • Cet incident montre que les capacités de cyberattaque russes restent pleinement actives
  • Il souligne aussi à nouveau la nécessité de renforcer la sécurité des infrastructures énergétiques européennes
  • DynoWiper constitue une nouvelle forme de malware wiper, ce qui appelle à renforcer la recherche en sécurité et les dispositifs de défense face à d’éventuelles attaques similaires

À lire aussi

1 commentaires

 
GN⁺ 2026-01-26
Réactions sur Hacker News

  • Si vous cherchez l’ampleur des dégâts, cette attaque a échoué
    Un cas emblématique reste l’attaque contre le réseau électrique en Ukraine en décembre 2015. Environ 230 000 personnes ont subi une coupure de courant pendant 6 heures

  • Cette guerre risque fort de balayer du marché les anciens fournisseurs d’équipements électroniques
    À moins d’avoir une sécurité exceptionnelle (un simple air gap ne suffit pas), ils perdront durablement leur activité dans les zones à risque

  • En voyant le titre au départ, je me suis dit : « est-ce qu’un essuie-glace de voiture a vraiment besoin d’être connecté à Internet ? »
    L’article lève l’ambiguïté, mais il est amer de se dire qu’aujourd’hui ce genre d’idée absurde pourrait réellement se vendre

    • Mais enfin, si on veut qu’un nouvel essuie-glace soit expédié automatiquement quand l’ancien est usé, il faut bien une connexion Internet, non ?

  • La Pologne est restée en état d’alerte élevé ces 5 dernières années. Elle a eu largement le temps de se préparer

    • En ce moment, on entend tous les quelques jours parler d’opérations psychologiques ou de dégâts. On dit souvent que les « trolls russes » influencent le débat politique
      Je me demande si l’Europe y répond de manière symétrique. Ne faudrait-il pas lâcher des trolls occidentaux sur l’Internet russe (Runet) ?

  • Avec le piratage de Jaguar, le Royaume-Uni a subi 2,5 milliards de dollars de pertes, et la production est tombée à un niveau digne d’un temps de guerre
    La remise en état a pris des mois, et les dégâts financiers se font toujours sentir
    Nous continuons à ne reconnaître comme attaque que les fusillades, tout en minimisant des situations où la destruction d’infrastructures pourrait faire mourir des centaines de personnes de froid

    • Mais bon, grâce à l’offshoring pour économiser sur les salaires des développeurs, ils ont sans doute épargné quelques millions de dollars par an
    • Le problème, c’est le doute bureaucratique sur l’identité de l’attaquant. À notre époque, il faut réduire au minimum ce genre d’incertitude

  • On pourrait penser que l’Ukraine mène des cyberattaques contre le réseau électrique russe, mais on n’en entend quasiment pas parler
    Est-ce que l’infrastructure électrique russe est tellement vétuste qu’elle en devient moins vulnérable ?

    • En réalité, la Russie transmet ses messages importants sous forme de documents tapés à la machine. Elle ne fait pas confiance aux modèles de sécurité numérique

  • Je me demande comment ce type d’attaque est réellement mené. La plupart des réseaux ne sont-ils pas isolés par air gap ?

    • D’après d’autres sources, cette attaque était une tentative de perturber les communications entre les centrales électriques et les opérateurs du réseau dans toute la Pologne
      Les détails complets ne seront sans doute pas rendus publics, mais il est possible que ces communications passaient par Internet (au moins via VPN)
      Et même un réseau totalement isolé par air gap peut être compromis si quelqu’un installe un appareil par erreur ou se fait piéger par de l’ingénierie sociale
    • Par exemple, Stuxnet a pénétré des systèmes isolés par air gap en propageant un ver dans le réseau d’un fournisseur afin d’infecter les ordinateurs portables des techniciens

  • La question « À qui profite le crime ? (Cui bono) » vient à l’esprit

    • La Pologne étant un hub logistique vers l’Ukraine, il est logique que les infrastructures énergétiques ou ferroviaires soient visées
      Le point positif, c’est que lorsqu’un malware de niveau militaire est utilisé, cela expose les capacités russes de cyber-guerre et permet aux défenseurs d’en tirer des leçons
    • La Russie est de fait en guerre contre l’Europe
    • La Russie cible actuellement de façon intensive les actifs énergétiques de l’Ukraine. L’Ukraine important de l’électricité depuis l’UE via la Hongrie et la Pologne, perturber la chaîne d’approvisionnement polonaise aurait donc un impact majeur
    • La Pologne est souvent présentée comme l’ennemi principal de Poutine et de son entourage
    • La réponse la plus évidente est que la Russie (ou un allié comme la Chine ou l’Iran) a attaqué la Pologne en raison de son soutien à l’Ukraine

  • Cet incident s’inscrit dans la guerre hybride menée contre l’Europe

  • Cette fois, l’UE pourra-t-elle s’unir pour faire face à la Russie ?
    En réalité, l’Allemagne et la France ne défendent que leurs propres intérêts, ce qui affaiblit l’union.
    La France a bloqué l’accord Mercosur préparé depuis 30 ans, tout en affichant une supériorité morale de façade pour critiquer les États-Unis.
    Au final, nous ne sommes qu’une union hypocrite

    • De quelle UE parle-t-on ? Celle qui continue d’acheter du pétrole et du gaz russes sous d’autres noms ? Ou celle qui écoule des voitures haut de gamme pour compenser la demande russe ?
    • Pour résoudre le problème, il faudrait réduire la souveraineté des États membres, mais la Pologne, en particulier, s’y opposerait fermement.
      Pourtant, sans coopération, l’Europe se fera grignoter pays par pays par la Russie, puis plus tard par la Chine
    • Pour information, la suspension de l’accord Mercosur n’est pas due à la France mais à la saisine de la Cour de justice de l’UE par la Pologne
      Article lié : Polish MEPs spearhead move to send EU-Mercosur trade pact to Court of Justice