Les pirates de Sandworm pensaient attaquer un barrage hydroélectrique français, mais c'est un moulin privé qu'ils ont hacké

Les pirates du gang russe Sandworm ont raté leur cible © Melnikov Dmitriy / Shutterstock

Les pirates du gang russe Sandworm ont raté leur cible © Melnikov Dmitriy / Shutterstock

Sandworm ciblait une centrale hydroélectrique dans l’Yonne, mais a en réalité attaqué un moulin privé dans la Marne.

Cette cyberattaque aurait pu être revendiquée par Les Pieds nickelés ou les soldats de la 7^e compagnie ! C’est un ratage sans gravité qui cache tout de même des actions apparentées à Sandworm, ce gang de « hackers d’élite » à la solde du gouvernement russe.

A priori, les images, que se sont procurées nos confrères du journal Le Monde, montrent les cyberpirates qui se filment en train de saboter ce qu’ils affirment être le barrage hydroélectrique de Courlon-sur-Yonne (Yonne) à l’aide d’un logiciel de piratage à distance. La vidéo montre également des vues aériennes probablement capturées par un drone du barrage en question. En réalité, selon Le Monde, si une attaque informatique a bien été perpétrée, celle-ci n’a pas touché la centrale de Courlon mais… le moulin de Courlandon, dans la Marne.

Toujours d’après Le Monde, on ne sait pas encore s’il s’agit d’une erreur d’un des hackers ou d’une campagne de propagande comme la chaîne Telegram qui a diffusé la vidéo de l’attaque.

La chaîne Telegram CyberArmyofRussia_Reborn pilotée par Sandworm, les hackers d’élite du GRU

Le canal Telegram CyberArmyofRussia_Reborn est bien connu par les pirates russes, qui y publient leurs exploits cybercriminels à grand renfort de vidéos de leurs cyberattaques pour le compte de la Russie. C’est sur ce canal qu’a été diffusée la fameuse vidéo du prétendu cybersabotage de la centrale hydroélectrique de Courlon-sur-Yonne, le 2 mars 2024.

Malgré cette attaque mal ciblée, il ne faut pas sous-estimer les pirates du canal CyberArmyofRussia_Reborn. Par le passé, ils ont revendiqué des cyberattaques contre des installations de traitement ou de distribution de l’eau, dont les conséquences auraient pu être problématiques. Un rapport récent de Mandiant, l’entreprise de cybersécurité de Google, a révélé que ce réseau de propagande est contrôlé par Sandworm, l’une des principales unités d’élite des renseignements militaires russes (GRU).

Depuis le début du conflit avec l’Ukraine, Sandworm a coordonné plusieurs cyberattaques d’infrastructures de traitement ou de distribution de l’eau de pays alliés à l’Ukraine, comme la Pologne ou les États-Unis. Il est ainsi devenu la principale unité de cybersabotage de Moscou.

Toutefois, selon Le Monde, il se peut qu’une erreur humaine soit à l’origine de cette bourde. En effet, en tapant « barrage Courlandon » sur Yandex, le principal moteur de recherche en Russie, l’un des premiers résultats affiche une vidéo amateur de la centrale de Courlon-sur-Yonne, prise par un drone, comme celle diffusée sur CyberArmyofRussia_Reborn.

Sandworm cible également des infrastructures françaises © Mehaniq / Shutterstock

Sandworm cible également des infrastructures françaises © Mehaniq / Shutterstock

Un vrai cybersabotage pour une mauvaise cible

En France, on reste perplexe quant à ce raté. C’est en analysant le petit film que la direction de Groupe Energies France, en charge de la gestion du site de Courlon, constate la bourde. « Les images parlent d’elles-mêmes : la vidéo démarre par une photo aérienne du barrage de Courlon, mais lorsqu’elle montre la partie pilotage, on voit qu’il s’agit de la centrale de Courlandon », explique-t-elle.

Courlandon, ce petit village de la Marne paisible de 300 âmes, qui ne comprend rien à cette histoire. Et pour cause, la cyberattaque, qui a bien touché l’installation hydroélectrique abritée dans un petit moulin privé de la commune, n’a fait qu’abaisser le niveau de l’eau de la Vesle, la petite rivière en amont de 20 centimètres.

Romain Eudes, l’exploitant de la centrale de Courlandon, explique les risques très limités de dégâts majeurs en cas de cyberattaque sur cette petite centrale privée. « À distance, à part couper et rallumer la production d’électricité, un pirate ne peut pas faire grand-chose », déclare-t-il avant d’ajouter que la Vesle ne peut pas déborder, grâce à des « sécurités partout dans ces installations, y compris des sécurités physiques, avec un déversoir ».

Que les hackers liés de près ou de loin à Sandworm se soient pris les pieds dans le tapis, ou qu’ils aient volontairement cherché à semer le doute ou à montrer ce dont ils sont capables en brouillant les pistes, toujours est-il que la Russie entend bien tirer les ficelles de la scène cyber. Pour rappel, en 2022, les cyberattaques russes contre les membres de l’OTAN ont augmenté de 300 %.

Sources : Le Monde Pixels, Google