Le Powerpoint Russe

7 avant l’invasion de l’Ukraine 🇺🇦, des chercheurs mettent la main sur un PowerPoint… Qui prouve que la Russie préparait déjà minutieusement le terrain. 😲 On est en 2014. Un mercredi matin pour être précis. La scène se passe dans les bureaux de la société iSight. Ce matin là, en arrivant au bureau, John Hultquist reçoit un email de ses collègues Ukrainiens : ”On a trouvé une 0-day ?!” 💥 Et en pièce-jointe, un fichier PowerPoint. Un fichier PowerPoint qui s’avère être extrêmement dangereux. À l’intérieur de celui-ci, une liste de noms, en Cyrillique, sur fond de drapeau ukrainien. Des supposés “terroristes”, qui seraient en fait du côté de la Russie. Mais ça, c’est ce qu’on voit. 🕵️ Ce qu’on ne voit pas, c’est ce qu’il se passe lorsqu’on double-clique sur ce fichier. Après des heures d’analyses, les chercheurs découvrent ceci 👇 Lors de son ouverture, le PowerPoint commence par copier un fichier sur l’ordinateur de la victime. Puis, en utilisant le système “d’animation” du logiciel, il fait un clic-droit sur le-dit fichier et lance son installation. Tout ça sans que l’utilisateur ne voit quoi que ce soit. Et ça marche sur toutes les versions de Windows. 🤯 Microsoft n’est même pas au courant que cette faille existe… (c’est ça, une “0-day”) Bon, me direz-vous, mais "c’est quoi ce logiciel qui vient d’être installé ?" (c’est cool, vous suivez 😉) Ce logiciel, c’est BlackEnergy. Un “malware” notoire, dont les dernières versions permettent d’espionner à peu près tout ce qu’il se passe sur l’ordinateur de la victime. Entre autres 😅 Bon. Un mail. Un powerpoint. Une “0-day” à signaler à Microsoft. Et un bon vieux virus espion. L’histoire pourrait s’arrêter là. Sauf que non. Car une fois ces infos rendues publiques, 2 chercheurs de chez Trend Micro décident de continuer l’enquête. Ils ont une sorte d’intuition : ”Un malheur ne vient jamais seul.” comme qui dirait 😢 En analysant les serveurs avec lesquels le malware communique, ils trouvent un nouveau fichier en apparence anodine. Un fichier “Cimplicity”. Le format de fichier utilisé par General Electrics dans tous ses systèmes de contrôles d’équipements industriels. Les systèmes de transports. Les centrales électrique. Les usines… Ce que cette découverte implique fait froid dans le dos. 😨 Contrairement à ce que l’on pensait, ceci n’est pas une “simple” opération de cyber-espionnage. Quelques mois plus tard, le 23 Décembre 2015… Le réseau électrique ukrainien sera bel et bien piraté. ⚡ 230.000 civils plongés dans le noir pendant presque 6 heures. La cyber-guerre est désormais... Une réalité.