Skip to content
Cyber Breaches
Recherche
WiperContenu

Wiper Shamoon contre Saudi Aramco

Le wiper Shamoon, attribué à l'Iran, a détruit les données d'environ 30 000 postes de travail de Saudi Aramco en une seule journée, mettant hors ligne pendant deux semaines le parc informatique de la plus grande compagnie pétrolière au monde. La première grande opération cyber iranienne de représailles.

Victime
Saudi Aramco
Perte
$200.0M
SecteurÉnergie
PaysArabie saoudite
GroupeCutting Sword of Justice (claim persona)APT33 / Elfin (likely Iranian attribution)

Dans la nuit du 15 août 2012 — la veille de l'Aïd al-Fitr, une fête religieuse durant laquelle la plupart du personnel de Saudi Aramco était absent du bureau et où les opérations informatiques fonctionnaient en effectif minimal — des opérateurs ont déployé le wiper Shamoon sur environ 30 000 postes de travail et 10 000 serveurs chez Saudi Aramco, la plus grande compagnie pétrolière au monde en termes de réserves. Le wiper a détruit le master boot record de chaque système touché, les rendant non amorçables.

Il s'agissait de la première grande opération cyber iranienne de représailles suite à l'attaque Stuxnet contre Natanz, et de l'opération cyber la plus destructrice contre une cible du secteur privé jamais documentée publiquement à l'époque.

Ce qui s'est passé

La conception de Shamoon était simple selon les standards modernes, mais opérationnellement dévastatrice :

  1. Déplacement latéral dans le réseau informatique d'entreprise de Saudi Aramco à l'aide d'identifiants récoltés et de protocoles d'administration Windows.
  2. Déclenchement à retardement synchronisé sur tous les systèmes infectés à un moment précis de la veille de l'Aïd — choisi pour que :
    • La plupart du personnel soit indisponible pour réagir.
    • Le délai de détection maximise la propagation avant tout confinement manuel.
  3. Écrasement du master boot record de chaque système touché par un ensemble d'octets aléatoires comprenant, sur une partie des machines, l'image d'un drapeau américain partiellement en flammes — le cadrage politique de l'attaque.
  4. Notification aux outils d'administration système que l'opération était terminée ; une revendication publique a suivi sous la persona « Cutting Sword of Justice ».

Environ 30 000 postes de travail et 10 000 serveurs ont été rendus non amorçables. La réponse de Saudi Aramco a consisté à déconnecter physiquement l'intégralité de son réseau d'entreprise pour stopper la propagation — laissant la plus grande compagnie pétrolière au monde sans informatique interne fonctionnelle pendant plus d'une semaine.

Ce qui a survécu

Le détail opérationnel crucial de Shamoon — régulièrement cité dans les formations ultérieures en sécurité ICS/OT — est que la production de pétrole s'est poursuivie sans être affectée. La production amont de Saudi Aramco :

  • Fonctionnait sur une infrastructure ICS dédiée, isolée de l'informatique d'entreprise.
  • Utilisait des réseaux séparés (et non le domaine d'entreprise) pour le contrôle industriel.
  • Disposait d'une gestion de configuration en réseau isolé (air-gap) pour les équipements de terrain pilotant pompes, séparateurs et contrôles de pipeline.

La séparation architecturale qui a protégé la production de pétrole était délibérée et préexistante — et non le résultat de la réponse à l'incident. La leçon — selon laquelle l'OT et l'IT doivent être architecturalement distincts — précède Shamoon mais a été amplifiée par le contraste saisissant de l'attaque entre la dévastation de l'informatique d'entreprise et la continuité de la production.

Impact

  • Plus de 30 000 postes de travail et 10 000 serveurs détruits ; le remplacement physique a constitué la principale voie de remédiation.
  • Deux semaines d'opérations informatiques d'entreprise dégradées chez Saudi Aramco.
  • Production de pétrole brut épargnée tout du long.
  • Coût direct de remédiation : ~100 M$ pour le remplacement et la reconstruction du matériel ; impact total estimé à ~200 M$ en incluant la perturbation des activités.
  • Aucune exfiltration de données attribuée publiquement — Shamoon relevait de la pure destruction, et non de l'espionnage.

Attribution

En octobre 2012, le secrétaire américain à la Défense Leon Panetta a publiquement désigné l'Iran comme responsable de l'attaque Shamoon lors d'un discours très médiatisé à New York, la qualifiant de « probablement la plus destructrice que le secteur privé ait connue à ce jour » et la présentant comme s'inscrivant dans un paysage de risque émergent de « cyber Pearl Harbor ».

Les analyses sectorielles ultérieures (Mandiant, Symantec, Kaspersky) ont rattaché la lignée de code de Shamoon à APT33 (également connu sous les noms d'Elfin et de Refined Kitten), un groupe attribué à l'Iran et aligné sur le Corps des Gardiens de la révolution islamique (CGRI). La même famille de code a refait surface dans :

  • Shamoon 2 (novembre 2016) contre de multiples cibles gouvernementales et privées saoudiennes, dont la Saudi General Authority of Civil Aviation.
  • Shamoon 3 / Stonedrill (décembre 2018) contre la compagnie pétrolière italienne Saipem, affectant principalement ses opérations au Moyen-Orient.

La continuité opérationnelle sur six ans à travers trois vagues Shamoon a établi la capacité cyber iranienne comme une menace persistante et opérationnellement mature pour les cibles du secteur de l'énergie.

Pourquoi c'est important

Saudi Aramco / Shamoon est le cas canonique des opérations cyber étatiques de représailles contre des cibles d'infrastructures critiques du secteur privé. Il a établi :

  • Que l'Iran répondrait aux opérations cyber contre son programme nucléaire par ses propres opérations cyber. Stuxnet (2010) → Shamoon (2012) est l'exemple le plus cité d'action-réaction cyber-stratégique.
  • Que les wipers destructeurs, et non le seul espionnage, constituent une catégorie de capacité cyber étatique. Avant Shamoon, les opérations cyber étatiques étaient largement perçues comme principalement orientées vers la collecte de renseignement ; Shamoon a démontré la volonté d'un État de causer des dommages durables.
  • Que la séparation OT-IT est une protection des infrastructures critiques au niveau architectural. La séparation préexistante de Saudi Aramco est désormais le modèle canonique.
  • Que la capacité cyber iranienne est durable et opérationnellement sérieuse. Les opérations ultérieures — Las Vegas Sands en 2014, de multiples cibles saoudiennes en 2016-2017, des tentatives d'intrusion sur un barrage américain en 2013, des opérations d'ingérence électorale en 2020 — remontent toutes à la lignée opérationnelle de la capacité iranienne que Saudi Aramco / Shamoon a publiquement démontrée.

Impact financier

Coûts déclarés en USD

Perte totale déclarée
200.0M
USD · 200 000 000 $US
  • Perte d’exploitation$100.0M
  • Remédiation$100.0M

Chronologie

  1. À la veille de l'Aïd al-Fitr — un jour où la plupart du personnel de Saudi Aramco était en congé et où les opérations informatiques fonctionnaient en effectif minimal — Shamoon se déclenche sur environ 30 000 postes de travail et 10 000 serveurs de Saudi Aramco. Le wiper écrase le master boot record et la table de partition de chaque système touché.

  2. Le personnel de Saudi Aramco de retour au travail trouve des machines affichant un drapeau américain partiellement en flammes et un message de « Cutting Sword of Justice ». Le réseau de Saudi Aramco est mis hors ligne à titre de mesure de confinement.

  3. Saudi Aramco entame la restauration progressive de son informatique. La production de pétrole brut des champs saoudiens est épargnée car la production fonctionne sur une infrastructure ICS isolée ; seul le volet informatique de l'entreprise est mis hors service.

  4. Saudi Aramco déclare publiquement que les systèmes informatiques sont « presque entièrement restaurés ».

  5. Saudi Aramco confirme la restauration complète. La production de pétrole brut s'est poursuivie sans interruption tout du long.

  6. Le secrétaire américain à la Défense Leon Panetta attribue publiquement Shamoon à l'Iran lors d'un discours à New York, qualifiant l'attaque de « probablement la plus destructrice que le secteur privé ait connue à ce jour ».

  7. La vague Shamoon 2 commence contre de multiples cibles gouvernementales et privées saoudiennes, dont la Saudi General Authority of Civil Aviation. Même lignée de code de wiper.

  8. La vague Shamoon 3 / « Stonedrill » frappe la compagnie pétrolière italienne Saipem, affectant principalement ses opérations au Moyen-Orient.

Sources

  1. aramco.comhttps://www.aramco.com/en/news-media/news/2012/restoration-of-it-services
  2. symantec.comhttps://www.symantec.com/connect/blogs/shamoon-attacks
  3. reuters.comhttps://www.reuters.com/article/cybersecurity-aramco-idUKL5N0YA2I320150514

Incidents liés

WiperContenu

Wiper AcidRain contre Viasat KA-SAT

Une heure avant l'invasion de l'Ukraine par la Russie, les opérateurs de Sandworm ont déployé le wiper AcidRain contre les modems satellite Viasat KA-SAT, neutralisant définitivement environ 30 000 terminaux européens et 5 800 éoliennes allemandes, et privant le commandement et le contrôle militaires ukrainiens de leurs communications.

Victim
Viasat KA-SAT (abonnés en Ukraine et en Europe)
Loss
$100.0M