⚛️ Cyber‑attaque d'une centrale nucléaire

Contexte, scénarios de menace et apprentissages des incidents cyber dans le secteur nucléaire critique.

← Retour Hacking Formation

Anatomie d'une cyberattaque nucléaire

L'intégration du numérique dans les systèmes de contrôle-commande (I&C) des centrales nucléaires présente des avantages en efficacité et en automatisation, mais expose également ces infrastructures, autrefois isolées (air-gapped), à des menaces cyber-physiques sophistiquées.

Les installations nucléaires sont devenues des cibles stratégiques en raison de leur rôle vital et de l'impact psychologique et économique qu'une compromission pourrait avoir.

🎯 Objectif : Analyser un scénario d'attaque crédible contre un réacteur à eau pressurisée (REP) moderne, en se basant sur les travaux de Ruben Santamarta.

L'approche est pédagogique, cherchant à fournir une compréhension factuelle des vecteurs d'attaque pour l'élaboration de défenses efficaces, plutôt que de susciter l'alarmisme.

🌍 Géopolitique – Industrie – Hacking

La menace cybernétique contre les installations nucléaires se situe à l'intersection de trois domaines :

🏛️Géopolitique

Les installations nucléaires sont des cibles primordiales dans les conflits modernes. Une attaque, même sans catastrophe radiologique, peut avoir des conséquences psychologiques, économiques et politiques dévastatrices.

🎯 Motivations étatiques
🚫 Non-prolifération : Sabotage des capacités nucléaires adverses
⚔️ Avantage militaire : Disruption énergétique stratégique
😱 Guerre psychologique : Déstabilisation par la panique

🏭Industrie

La sécurité des centrales dépend désormais de l'intégrité de systèmes de contrôle-commande (I&C) numériques complexes. Cette dépendance logicielle pour les fonctions vitales de protection et de régulation a créé une nouvelle surface d'attaque.

🏴‍☠️Hacking

Seuls des acteurs disposant de ressources considérables, comme des États-nations, possèdent l'expertise nécessaire pour lancer des attaques capables de pénétrer les systèmes de sécurité des centrales.

📚 Précédents : Stuxnet et Trisis démontrent l'existence de ces capacités offensives étatiques.

⚛️ Les fondements du réacteur à eau pressurisée (REP)

Comprendre les lois physiques et les principes d'ingénierie qui régissent un réacteur est essentiel pour analyser une cyberattaque.

🔥De la fission à l'électricité : le cycle thermodynamique

La fission nucléaire de l'uranium-235 libère une chaleur immense, convertie en électricité via un cycle thermodynamique de Rankine impliquant trois circuits d'eau isolés :

🔄 Les trois circuits
1 Circuit primaire : L'eau sous haute pression absorbe la chaleur du cœur
2 Circuit secondaire : Production de vapeur pour turbine et alternateur
3 Circuit tertiaire : Source d'eau froide externe pour condensation

⚙️Le cœur du réacteur : combustible, modérateur et contrôle

🧱 Composants du cœur
Combustible : Pastilles de dioxyde d'uranium (UO₂) enrichi en U-235
💧 Modérateur : Eau légère (H₂O) ralentit les neutrons
🎛️ Contrôle : Barres de contrôle et acide borique

📊L'art du contrôle : criticité et coefficients de réactivité

La puissance du réacteur est liée à sa criticité (facteur de multiplication des neutrons, k) :

🎯 États de criticité
📉 Sous-critique (k<1) : La puissance diminue
⚖️ Critique (k=1) : La puissance est constante
📈 Supercritique (k>1) : La puissance augmente
⚠️ Clé de sécurité : Les neutrons retardés (0.7%) ralentissent la cinétique et permettent le contrôle, évitant la prompt-criticité.

🌡️Le point de rupture : la crise d'ébullition (DNB)

Le "Departure from Nucleate Boiling" (DNB) est un seuil critique où un film de vapeur isolant se forme, empêchant le transfert de chaleur et pouvant mener à la fusion du cœur.

🎯 Objectif de l'attaquant : Manipuler les paramètres physiques (pression, température, concentration en bore) via le logiciel pour déstabiliser le réacteur.

📚 Acteurs, motivations et précédents notables

🎯Le contexte des opérations cybernétiques stratégiques

Les attaques contre les installations nucléaires civiles sont des actes graves, nécessitant des ressources et une expertise étatiques. Les motivations sont stratégiques : non-prolifération, avantage militaire, ou guerre psychologique pour déstabiliser.

🐛Leçon n°1 – Stuxnet : la maîtrise du processus physique

Stuxnet (2010) a démontré la capacité d'une cyberattaque à causer des dommages physiques. En manipulant les automates programmables (PLC) des centrifugeuses d'enrichissement d'uranium à Natanz, les attaquants ont provoqué la désublimation de l'UF₆, entraînant la destruction des centrifugeuses.

🔑 Clés du succès
🧠 Connaissance intime : Compréhension parfaite du système cible
🎭 Discrétion : Masquage de la manipulation aux opérateurs

🛡️Leçon n°2 – Trisis : le ciblage direct des systèmes de sûreté

Trisis (2017) a ciblé un système instrumenté de sécurité (SIS) Triconex, prouvant qu'il est possible de modifier la logique du contrôleur de sûreté, quelle que soit la position de la clé physique.

⚙️ Technique d'exploitation
🔧 Patch firmware : Modification pour ignorer l'état de la clé
🎛️ Contrôle total : Prise de contrôle du système de sûreté
💡 Synthèse stratégique : La combinaison des tactiques de Stuxnet (manipulation physique via logiciel) et Trisis (neutralisation des systèmes de sûreté) pose les bases théoriques d'une attaque nucléaire.

🧠 La cible – Teleperm XS

La plateforme Teleperm XS (TXS) de Framatome, largement utilisée pour les fonctions critiques des centrales nucléaires, est au centre de ce scénario d'attaque.

🏗️Architecture d'un cerveau numérique de sûreté

L'architecture de TXS est conçue pour une fiabilité maximale, avec des unités fonctionnelles clés :

🔧 Unités fonctionnelles
📡 APU : Acquisition and Processing Unit - Collecte capteurs et logique
⚙️ ALU : Actuation Logic Unit - Vote et ordres aux actionneurs
🌐 MSI : Monitoring Service Interface - Passerelle réseau

🚪La « Service Unit » : porte d'entrée privilégiée

La "Service Unit" (SU) est un ordinateur standard (COTS) sous Linux SUSE, utilisé par les ingénieurs de maintenance. Elle a un accès privilégié bidirectionnel au réseau de sûreté via la MSI.

🔑 Capacités d'accès
🔍 Diagnostic : Surveillance temps réel des systèmes
⚙️ Configuration : Ajustement des seuils d'alarme
💾 Mise à jour : Chargement firmware et logique applicative
🎯 Cible attractive : Sa nature COTS en fait une cible privilégiée pour obtenir des privilèges d'ingénieur.

🔓Vulnérabilité de l'interlock logiciel

La directive américaine "Staff Position 10" exige des verrouillages matériels, mais l'implémentation de TXS contourne cette règle :

⚠️ Faille de conception
🔑 Signal logiciel : La clé physique envoie un signal de "permission"
💻 Commande software : Changement de mode émis depuis la SU
🚫 Contournement : Un implant peut ignorer cette permission

🔒Confiance aveugle : la faiblesse du CRC32

Le système TXS utilise des sommes de contrôle CRC32 pour l'authenticité des firmwares. Cependant, le CRC32 est inefficace contre les manipulations intentionnelles.

💣 Exploitation possible
🔧 Modification : Insertion de code malveillant dans le firmware
🧮 Recalcul : Génération d'un CRC32 valide pour le fichier altéré
Validation : Le fichier malveillant apparaît légitime

💥 Scénario d'attaque : SLOCA

Cette section développe un scénario d'attaque pour illustrer comment une cyberattaque pourrait provoquer la fusion du cœur d'un REP.

🎯La méthodologie de l'attaquant : les « 4 D »

L'approche de l'attaquant est stratégique, visant bien plus que la simple destruction :

💀 Les quatre objectifs
☢️ Désastre : Dommage au cœur et rejet radiologique
💥 Destruction : Dommages physiques irréversibles
Perturbation : Arrêt prolongé et chaos électrique
🎭 Déception : Manipulation pour confusion et panique

🚰L'événement initiateur : ouverture forcée des PSRVs

Le scénario est un accident par petite brèche du circuit primaire (SLOCA), initié cybernétiquement. Un implant malveillant force l'ouverture simultanée et maintenue de deux des trois vannes de sûreté du pressuriseur (PSRVs).

📚 Référence historique : Cette situation rappelle l'accident de Three Mile Island (TMI) en 1979.

🛡️Paralyser les contre-mesures

L'attaque anticipe et paralyse les contre-mesures :

🚫 Neutralisation des défenses
🤖 Protections automatiques : Blocage injection d'eau borée et refroidissement
👨‍💼 Actions manuelles : Le PACS donne priorité absolue aux ordres du système de protection
🔄 Boucle malveillante : Ordres d'ouverture en continu des vannes

⏱️Simulation « Cyber Three Mile Island »

Une simulation avec le logiciel PCTran a montré une dégradation rapide du réacteur, menant au dénoyage du cœur en moins d'une heure.

Temps Événement Clé Conséquence Physique
0 s Début attaque : 2 PSRVs ouvertes Début SLOCA, chute pression circuit primaire
69 s Arrêt d'urgence (SCRAM) Production s'arrête, chaleur résiduelle demeure
79 s Inhibition Injection Sécurité Blocage injection d'eau borée compensatrice
98 s Rupture disques PRT Réfrigérant se déverse dans l'enceinte
520 s Début ébullition dans le cœur Formation de vides (vapeur) dans le cœur
3029 s (49 min) Dénoyage du cœur Combustible non refroidi → fusion imminente

🔬 Conclusion et ressources

Une cyberattaque physique contre un réacteur nucléaire moderne est un risque complexe mais plausible. La vulnérabilité réside dans la convergence d'une cible accessible (Service Unit), de protections par interlock logicielles (non matérielles), de vérifications d'intégrité de firmware faibles (CRC32), et d'une manipulation précise de la physique du réacteur.

⚠️Risques et perspectives

Un accident de type Tchernobyl est improbable dans un REP moderne, mais un scénario de « Cyber Three Mile Island » (fusion du cœur contenue) est concevable, avec des conséquences économiques, politiques et psychologiques incalculables.

🔮 SMRs et IA : Les Petits Réacteurs Modulaires, avec leur automatisation accrue et l'utilisation potentielle de l'IA, nécessitent une sécurité dès la conception (security by design).

🛡️Défenses et recommandations

  • Transparence : Publication des recherches et vulnérabilités
  • Recherche offensive éthique : Red team et tests d'intrusion
  • Formation continue : Sensibilisation des équipes
  • Cadres réglementaires : AIEA et ANSSI
💡 Principe fondamental : La compréhension des menaces est la meilleure défense.

🙏Remerciements et ressources

Un immense merci à Ruben Santamarta pour son travail de recherche exceptionnel :

📄 When physics meets (Reverse) engineering 📄 A Practical Analysis of Cyber-Physical Attacks
🔙 Retour aux guides 🎓 Formation sécurité 📡 Threat Intelligence