Des milliers de modems français connectés au service de Viasat ont été endommagés au début de l’offensive russe en Ukraine. Ce n’est pas le satellite KA-SAT, mais le réseau au sol qui a failli à cause d’une attaque logicielle.

Il va sûrement falloir changer les box des opérateurs Nordnet et Bigblu. Elles sont en panne depuis deux semaines à la suite d’une cyberattaque massive contre le service d’accès à Internet fourni par le satellite géostationnaire KA-SAT. 10 000 utilisateurs français environ seraient concernés.

Nordnet a annoncé le 10 mars prendre contact avec chaque client et n’écarte désormais plus la perspective de remplacer les boîtiers.

Bigblu devrait probablement faire de même, d’après des informations affichées sur son site le 7 mars dernier.

« Nous prévoyons de fournir du matériel de remplacement aux clients concernés. Ce matériel sera aussi accompagné d’instructions précises pour effectuer une remise en service.  Nous vous communiquerons les délais dans les prochains jours », peut-on lire sur une page dédiée.

Le satellite reste en état de marche

A 36 000 kilomètres au-dessus de la Terre, le satellite KA-SAT n’a pas été touché. C’est le réseau au sol de son propriétaire américain Viasat qui a été ciblé et qui a mis hors service les modems des utilisateurs. Ils ne fonctionnent plus malgré les efforts des opérateurs commerciaux pour les redémarrer à distance. Ces box sont ce qu’on appelle brickées, soit inutilisables, comme des témoignages déposés dans les forums du site LaFibreinfo en attestent.

Il faudrait intervenir physiquement sur l’appareil et dessouder la puce du modem. Trop cher et trop compliqué pour les opérateurs. D’où l’idée de procéder à leur remplacement.
Toujours d’après LaFibreinfo, les box qui n’étaient pas connectées au réseau au moment de l’attaque parviendraient à se connecter sans problème à Internet grâce à KA-SAT.

Un dommage collatéral des manoeuvres russes

Cette situation ne serait qu’un dommage collatéral d’une cyberattaque émanant probablement des Russes et ciblant l’Ukraine.

« Nous ne disposons pas d’éléments précis. Mais nous avons de fortes présomptions », a déclaré le secrétaire d’Etat au numérique Cédric O lors d’un point presse cette semaine.

C’est au petit matin, le jeudi 24 février, que le problème a commencé.

« Cela correspond exactement au début de l’invasion russe. Cela ne peut pas être une coïncidence. Si vous avez un malware en attente, c’est l’occasion ou jamais de l’exploiter à ce moment-là. Cela fait partie des tous premiers objectifs », nous fait observer Thierry Berthier, enseignant chercheur en cyberdéfense et cybersécurité.

Lancé en décembre 2010 et opérationnel depuis mai 2011, le satellite KA-SAT fut le premier ayant principalement pour vocation à fournir du haut débit à destination des entreprises comme des particuliers mais aussi de militaires. Il nécessite de disposer d’une antenne parabolique Tooway et d’un modem pour accéder à Internet. Le service est utilisé dans toute l’Europe et à ses marges, comme son extrémité Est. Il est notamment plébiscité en Ukraine. Ce pays plus grand que la France ne dispose pas de fibre optique sur tout son territoire et a recours aux satellites pour compléter sa couverture.

En voulant neutraliser des communications ukrainiennes, les Russes auraient pris le risque d’endommager dans le même temps les terminaux utilisés par des citoyens de plusieurs pays européens membres de l’OTAN : France, Allemagne, Grèce, Pologne, Italie ou encore Hongrie.

72 000 terminaux concernés en Europe

Comme le Commandant français de l’Espace, Michel Friedling, l’a précisé lors d’une conférence de presse le 3 mars dernier, seul le réseau civil de Viasat a été touché en France.

« Plusieurs dizaines de milliers de terminaux ont été endommagés, rendus inopérants et probablement irréparables », a déclaré le commandant depuis Toulouse.

D’après nos informations, plus de 72 000 utilisateurs seraient concernés en Europe. Et au moins 3 000 éoliennes auraient été touchées en Allemagne, d’après le journal Der Spiegel. Elles continuent à fournir de l’énergie, mais ne peuvent plus être commandées à distance.

On ne peut émettre que des hypothèses

Viasat, Nordnet ou Eutelsat, tous les acteurs concernés restent extrêmement discrets sur le déroulé des faits. En absence de données suffisantes rendues publiques, on ne peut qu’établir des hypothèses sur ce qui s’est passé.

« Il est possible d’écarter deux scénarios. Celui de l’envoi d’un blast, une émission d’ondes électromagnétiques. Parce que cela aurait tout fait griller y compris les ordinateurs et de façon uniquement locale », nous indique Thierry Berthier.
« On peut aussi éliminer l’hypothèse d’une attaque DDoS car ses effets auraient été temporaires, ce qui n’est pas le cas ici ».

Le chercheur en sécurité Ruben Santamarta est notamment spécialiste notamment des terminaux Satcom. Il a écrit en 2014 et en 2018 des articles sur leurs vulnérabilités pour la célèbre conférence Black Hat. Il retient deux possibilités sur son site Reversemode.

La première serait celle d’une faille zero-day.

« Une vulnérabilité exploitable à distance dans un terminal SATCOM, en plus d’une mauvaise configuration réseau du fournisseur de satellite, est un scénario tout à fait réalisable qui peut être exploité à une certaine échelle », écrit-il.

Malgré tout, ce n’est pas la thèse qu’il privilégie.

Sources

Profitez-en pour vous abonner  et suivre d’autres reportages tout aussi passionnants.