© 2025 Offensive Intelligence. Created with ❤️ using WordPress and Kubio

© 2025 Offensive Intelligence. Created with ❤️ by Mhack

Anatomie d’une cyberattaque nucléaire

Introduction

L’avènement du numérique dans les systèmes de contrôle-commande (I&C) des centrales nucléaires est une arme à double tranchant. D’un côté, il promet des avancées spectaculaires en matière d’efficacité et d’automatisation. De l’autre, il fait voler en éclats la sanctuarisation de ces infrastructures, longtemps isolées du monde extérieur (air-gapped), les exposant à des menaces cyber-physiques d’une sophistication inédite. Ces citadelles de l’ingénierie mécanique se métamorphosent ainsi en cibles de choix pour des acteurs malveillants de haut vol. Les centres de production d’énergie, et tout particulièrement les installations nucléaires, sont devenus des objectifs stratégiques, non seulement pour leur rôle vital mais aussi pour l’onde de choc psychologique que leur compromission pourrait infliger à une nation.[1]

Cet article se propose de déconstruire, sous un angle technique et offensif, un scénario d’attaque crédible visant un réacteur à eau pressurisée (REP) contemporain. Notre analyse s’appuiera de manière intensive sur les travaux fondateurs de Ruben Santamarta, dont les recherches sont devenues une référence incontournable.[2, 2] Loin de céder à l’alarmisme, notre démarche se veut avant tout pédagogique. Une compréhension fine et factuelle des vecteurs d’attaque est le prérequis indispensable à l’élaboration de défenses réellement efficaces. L’ambition est de fournir un contrepoint rigoureux et accessible à la désinformation et au climat de peur, d’incertitude et de doute (FUD) qui gangrènent trop souvent les discussions sur ce sujet.[2, 2]

Rappel : Géopolitique – Industrie – Hacking

Pour saisir toute la portée d’une telle menace, il faut la penser au carrefour de trois univers qui s’entremêlent :

  • Géopolitique : Dans l’arène des conflits modernes, les installations nucléaires incarnent des cibles de premier ordre. Une attaque, même sans catastrophe radiologique, aurait des répercussions psychologiques, économiques et politiques dévastatrices. Les ressorts d’une telle action étatique sont variés : freiner un programme de prolifération, s’assurer un avantage militaire en paralysant une source d’énergie cruciale, ou simplement déstabiliser un adversaire en semant la panique.
  • Industrie : La sûreté des centrales d’aujourd’hui ne repose plus seulement sur la solidité de leur ingénierie mécanique. Elle est désormais suspendue à l’intégrité de systèmes de contrôle-commande (I&C) numériques complexes. Cette dépendance critique au logiciel pour les fonctions vitales de protection et de régulation a créé une surface d’attaque qui n’existait tout simplement pas dans les générations de réacteurs précédentes.
  • Hacking : Seuls des acteurs aux ressources considérables, typiquement des États-nations, ont la patience, les moyens et l’expertise pour forger des armes numériques capables de percer les multiples blindages d’une centrale. Les précédents comme Stuxnet ou Trisis, bien qu’ils n’aient pas visé de réacteurs civils, ont administré la preuve de concept. Ils ne sont que la pointe visible de l’iceberg des capacités offensives qui existent aujourd’hui.

Partie 1 : Les fondements du réacteur à eau pressurisée (REP)

Pour comprendre comment une cyberattaque peut pousser un réacteur à la faute, il faut d’abord maîtriser les lois physiques et les principes d’ingénierie qui le gouvernent. Cette section pose les bases indispensables, en s’inspirant de l’introduction exhaustive du rapport de Santamarta.

1.1. De la fission à l’électricité : le cycle thermodynamique

Au cœur du réacteur, tout commence par la fission nucléaire, amorcée lorsqu’un neutron percute un noyau d’uranium-235 (U-235). Le noyau se brise en fragments plus légers, libérant une énergie colossale sous forme de chaleur, fidèle à la célèbre équation d’Einstein E=mc^2, ainsi que deux ou trois nouveaux neutrons. Ces derniers peuvent à leur tour déclencher d’autres fissions, entretenant une réaction en chaîne qui est la source de puissance continue du réacteur.

Cette chaleur est ensuite transformée en électricité par un cycle thermodynamique de Rankine, qui met en œuvre trois circuits d’eau distincts et hermétiques [2, 2] :

  1. Le circuit primaire : L’eau de ce circuit, maintenue sous très haute pression pour l’empêcher de bouillir, traverse le cœur du réacteur où la fission la porte à très haute température.
  2. Le circuit secondaire : L’eau brûlante du circuit primaire passe dans un générateur de vapeur. Là, elle cède sa chaleur à l’eau du circuit secondaire qui, étant à plus basse pression, se transforme en vapeur. Cette vapeur actionne une turbine reliée à un alternateur, produisant ainsi de l’électricité. Le générateur de vapeur est une barrière physique essentielle, interdisant tout contact entre l’eau radioactive du circuit primaire et le circuit secondaire.
  3. Le circuit tertiaire : Il puise de l’eau dans une source froide externe (rivière, mer) pour condenser la vapeur du circuit secondaire, la ramenant à l’état liquide avant qu’elle ne reparte pour un nouveau cycle.
1.2. Le cœur du réacteur : combustible, modérateur et contrôle

Le cœur d’un REP est un agencement méticuleux de trois éléments clés :

  • Le combustible : Des pastilles de dioxyde d’uranium (UO_2), sont empilées dans de longs tubes métalliques, les « crayons ». Ce combustible est majoritairement composé d’uranium-238 (U-238), un isotope fertile mais non directement fissile par des neutrons lents. Il contient une faible proportion (3 % à 5 %) d’uranium-235 (U-235), l’isotope fissile. L’augmentation de la concentration en U-235 est ce qu’on appelle l’enrichissement (Low-Enriched Uranium – LEU).
  • Le modérateur : Les neutrons issus de la fission sont extrêmement rapides. Or, la probabilité qu’un neutron déclenche une nouvelle fission dans l’U-235 est bien plus grande si ce neutron est lent, dit « thermique ». Le rôle du modérateur, qui dans un REP est l’eau légère (H_2O) du circuit primaire, est de freiner ces neutrons par une série de collisions. C’est ce qui définit un réacteur comme « thermique ».
  • Le contrôle de la réactivité : Piloter la puissance du réacteur revient à maîtriser le nombre de neutrons disponibles. On y parvient par des moyens externes, comme l’insertion de barres de contrôle (faites de matériaux qui absorbent les neutrons, comme le cadmium ou le bore) ou en faisant varier la concentration d’acide borique (un autre absorbant) dissous dans l’eau du circuit primaire.
1.3. L’art du contrôle : criticité et coefficients de réactivité

La puissance d’un réacteur est directement proportionnelle à sa « criticité », que l’on mesure par le facteur de multiplication des neutrons, noté k. Il existe trois états possibles :

  • Sous-critique (k) : La population de neutrons décroît, la réaction en chaîne faiblit et la puissance diminue.
  • Critique (k=1) : La population de neutrons est stable. Le réacteur opère à puissance constante.
  • Supercritique (k>1) : La population de neutrons augmente, la réaction en chaîne s’accélère et la puissance grimpe.

Un élément fondamental rend les réacteurs pilotables : l’existence des neutrons retardés. Une infime fraction des neutrons (environ 0.7 %) n’est pas émise instantanément lors de la fission, mais après un délai de quelques secondes. Ce court répit ralentit considérablement la cinétique globale de la réaction, donnant aux systèmes de contrôle et aux opérateurs le temps d’agir. Sans ces neutrons retardés, le réacteur deviendrait « prompt-critique » en une fraction de seconde, un régime explosif et incontrôlable.

Les REP disposent également de mécanismes de sûreté passifs, ou inhérents, qui stabilisent automatiquement le réacteur : les coefficients de réactivité.

  • Coefficient de température du combustible (FTC) : C’est le plus important. Quand la température du combustible augmente, les atomes d’U-238 vibrent plus intensément. Ce phénomène, appelé effet Doppler, accroît leur probabilité de capturer des neutrons qui, autrement, auraient pu causer des fissions. Cela crée un puissant effet de rétroaction négative : si la puissance augmente, le combustible chauffe, la réactivité baisse, et la puissance se stabilise.
  • Coefficient de température du modérateur (MTC) : Lorsque l’eau (le modérateur) chauffe, sa densité diminue. Il y a donc moins de molécules d’eau pour ralentir les neutrons. Dans un REP conçu pour être « sous-modéré », cela signifie que moins de neutrons deviennent thermiques et donc efficaces pour la fission, ce qui réduit également la réactivité.

Cette physique du réacteur n’est pas seulement un contexte, elle est la surface d’attaque elle-même. L’attaquant ne cherche pas une faille logicielle classique ; il cherche à instrumentaliser le logiciel pour manipuler les paramètres physiques (pression, température, concentration en bore) qui régissent ces lois. En compromettant les systèmes de contrôle, il peut pousser le réacteur vers un état instable, par exemple en inhibant ces mécanismes de sûreté ou, pire, en induisant une rétroaction positive. L’attaque devient une manipulation de la physique via une interface numérique.

1.4. Le point de rupture thermodynamique : la crise d’ébullition (DNB)

Le « Departure from Nucleate Boiling » (DNB), ou crise d’ébullition, représente un seuil thermodynamique critique, une ligne rouge à ne jamais franchir. En temps normal, la chaleur est transférée efficacement des gaines du combustible à l’eau de refroidissement par un processus d’ébullition nucléée, où de petites bulles de vapeur se forment à la surface chaude avant de se détacher. Mais si le flux de chaleur devient trop important, ces bulles peuvent fusionner et créer un film de vapeur continu qui isole la gaine.

La vapeur étant un très mauvais conducteur thermique comparée à l’eau liquide, ce film isolant provoque un effondrement du transfert de chaleur. La chaleur ne pouvant plus s’évacuer, la température du combustible et de sa gaine grimpe en flèche en quelques secondes. Ce phénomène peut mener à la rupture des gaines, à la libération de produits de fission dans le circuit primaire et, si rien n’est fait, à la fusion du cœur. Empêcher d’atteindre le DNB est l’un des objectifs cardinaux des systèmes de protection du réacteur.

Partie 2 : Acteurs, motivations et précédents notables

Cette section dresse le tableau stratégique des cyberattaques de haut niveau, en se penchant sur les motivations des acteurs et en tirant les leçons des deux cas d’école les plus emblématiques : Stuxnet et Trisis.

2.1. Le contexte des opérations cybernétiques stratégiques

S’attaquer à une installation nucléaire civile n’est pas une mince affaire. C’est un acte d’une gravité exceptionnelle, dont la planification et la mise en œuvre exigent des ressources, une expertise et une volonté politique que seuls des États-nations peuvent se permettre. Les motivations derrière une telle opération sont d’ordre stratégique : la non-prolifération, comme ce fut le cas présumé pour Stuxnet ; la recherche d’un avantage militaire décisif en neutralisant une source d’énergie vitale ; ou encore la guerre psychologique, pour semer la panique et la méfiance au sein d’une population afin de déstabiliser un régime.

2.2. Leçon n°1 – Stuxnet : la maîtrise du processus physique

Stuxnet, mis au jour en 2010, demeure l’archétype de la cyberattaque physique réussie. L’analyse de sa charge utile « 417 », qui ciblait les centrifugeuses d’enrichissement d’uranium de Natanz, est particulièrement instructive. L’attaque n’a pas cherché à simplement « casser » l’équipement ; elle a subtilement instrumentalisé la physique même du procédé.

Les attaquants, qui possédaient une connaissance intime du système, ont manipulé les automates programmables (PLC) pour altérer la séquence d’ouverture et de fermeture des vannes du circuit de gaz d’hexafluorure d’uranium (UF6). En augmentant discrètement la pression du gaz bien au-delà de ses limites, ils ont provoqué sa désublimation – son passage de l’état gazeux à l’état solide – directement à l’intérieur des rotors tournant à très haute vitesse. Ce dépôt de matière a créé un déséquilibre mécanique fatal, menant à la destruction des centrifugeuses. La clé du succès de Stuxnet fut cette maîtrise de la physique, alliée à la capacité de masquer l’attaque aux opérateurs en leur rejouant des données de capteurs normales.

2.3. Leçon n°2 – Trisis : le ciblage direct des systèmes de sûreté

Découvert en 2017, le malware Trisis (ou Triton) a franchi un nouveau palier dans l’escalade de la menace. Sa cible n’était plus un système de contrôle de procédé, mais un système instrumenté de sécurité (SIS) de marque Triconex – c’est-à-dire l’ultime ligne de défense numérique conçue pour mettre une installation en état sûr en cas d’anomalie grave.

La capacité la plus révélatrice de Trisis était de pouvoir modifier la logique du contrôleur de sûreté, et ce, quelle que soit la position de la clé physique sur le panneau de commande. Cette clé est censée basculer le contrôleur entre le mode « programme » (permettant les modifications) et le mode « run » (verrouillé). Trisis a pu contourner cette protection car la logique de la clé était gérée par le firmware du contrôleur, et non par un verrouillage matériel (hardwired). L’implant de Trisis a simplement patché le firmware en mémoire pour qu’il ignore l’état de la clé, lui permettant de prendre le contrôle du système de sûreté à sa guise.

L’analyse de ces deux précédents dessine une trajectoire claire : Stuxnet a prouvé qu’une cyberattaque pouvait causer des dommages physiques précis en manipulant un processus industriel. Trisis a prouvé qu’il était possible de neutraliser la dernière ligne de défense numérique. La combinaison de ces deux concepts jette les bases théoriques d’une attaque sur un réacteur nucléaire : utiliser une technique à la Trisis pour neutraliser le système de protection, afin de mener une attaque à la Stuxnet, c’est-à-dire manipuler la physique du cœur pour provoquer un accident. Dans les deux cas, le succès repose moins sur un exploit informatique que sur une connaissance extraordinairement profonde du système cible, fruit d’un effort de renseignement et d’ingénierie inverse colossal.

Partie 3 : La cible – la plateforme de sûreté numérique Teleperm XS

Au centre de notre scénario d’attaque se trouve la plateforme de contrôle-commande de sûreté Teleperm XS (TXS) de Framatome. Ce système est l’un des plus déployés au monde pour les fonctions critiques des centrales nucléaires, équipant des dizaines de réacteurs en Europe, aux États-Unis, en Russie et en Chine, y compris dans les centrales suisses de Gösgen et Beznau.[2, 2]

3.1. Architecture d’un cerveau numérique de sûreté

L’architecture de TXS est bâtie sur les principes de redondance et de séparation des fonctions pour une fiabilité maximale. Ses unités fonctionnelles clés sont [2, 2] :

  • APU (Acquisition and Processing Unit) : Ces unités (généralement des processeurs SVE2) collectent les signaux des milliers de capteurs de la centrale (température, pression, etc.). Elles exécutent la logique de protection, comparant en permanence les valeurs mesurées à des seuils de sûreté.
  • ALU (Actuation Logic Unit) : Ces unités reçoivent les résultats des différentes divisions d’APU redondantes. Elles appliquent une logique de vote (par exemple, 2 sur 4) pour éviter les déclenchements intempestifs. Si le vote confirme une alarme, l’ALU envoie les ordres aux actionneurs (par exemple, l’insertion des barres de contrôle pour un arrêt d’urgence).
  • MSI (Monitoring and Service Interface) : Cette unité est une passerelle et un pare-feu cruciaux entre le réseau de sûreté (utilisant un bus de terrain comme Profibus) et le réseau de supervision (généralement basé sur Ethernet). C’est un point de passage obligé et contrôlé pour toute communication entre le monde non sécurisé et celui de la sûreté.
3.2. La « Service Unit » : porte d’entrée privilégiée

La « Service Unit » (SU) est le pivot de notre scénario d’attaque. Il s’agit d’un ordinateur standard (COTS), souvent un PC industriel sous Linux SUSE, qui permet aux ingénieurs de maintenance d’effectuer des opérations critiques sur le système de sûreté.[2, 2]

La SU bénéficie d’un accès bidirectionnel privilégié au réseau de sûreté via la passerelle MSI. Elle sert au diagnostic, à la surveillance, à l’ajustement des seuils d’alarme et, surtout, au chargement de nouvelles versions du firmware des processeurs de sûreté (SVE2) et de la logique applicative.

De ce fait, la SU s’impose comme la cible de choix, la porte d’entrée royale pour un attaquant. Sa nature COTS la rend plus vulnérable et plus familière que les composants propriétaires de TXS. Compromettre la SU, c’est obtenir les « clés du royaume » numérique de la centrale, avec les mêmes privilèges qu’un ingénieur de maintenance.

3.3. La vulnérabilité de l’interlock logiciel : le cas de la « Staff Position 10 »

La « Staff Position 10 », une directive de l’autorité de sûreté nucléaire américaine (NRC), est un dogme en matière de cybersécurité. Elle exige que toute modification en ligne d’un logiciel de sûreté soit protégée par des verrouillages matériels (hardwired) ou par une déconnexion physique. L’objectif est d’empêcher qu’une simple commande logicielle puisse altérer les fonctions de protection.

L’implémentation de TXS révèle une entorse à cette règle. Pour faire passer un processeur de sûreté du mode « Opération » (protégé) à un mode « Test » ou « Diagnostic », la procédure n’est pas purement matérielle. Un opérateur doit tourner une clé physique, mais cette clé ne fait qu’envoyer un signal de « permission » (permissive) à un module d’entrée/sortie (le S430). C’est ensuite une commande logicielle, émise depuis la SU, qui utilise cette permission pour ordonner le changement de mode.[2, 2]

Le parallèle avec Trisis est saisissant. Dans les deux cas, la décision finale est logicielle. Un implant malveillant, une fois installé sur les processeurs SVE2, peut être programmé pour ignorer complètement cette logique de « permission ». Il peut accepter des commandes de changement de mode à tout moment, qu’une clé ait été tournée ou non, rendant cette protection illusoire face à une menace interne au logiciel.

3.4. Une confiance aveugle : la faiblesse des contrôles d’intégrité par CRC32

Pour s’assurer de l’authenticité des firmwares et des configurations, le système TXS s’appuie sur des sommes de contrôle de type CRC32. Ces sommes sont calculées pour chaque fichier (par exemple, les fichiers cpuXXXX.mic contenant le firmware) et vérifiées lors du chargement.

Or, c’est là une confiance bien mal placée. Un CRC32, conçu pour déceler des erreurs accidentelles de transmission, s’avère totalement inefficace face à une manipulation intentionnelle. Il est mathématiquement trivial pour un attaquant de modifier un firmware, d’y insérer son code malveillant (par exemple, celui qui ignore la permission de la clé), puis de recalculer le CRC32 correct pour le fichier altéré. Le fichier malveillant apparaîtra alors comme parfaitement légitime au système de chargement.

La menace ne vient donc pas d’une faille isolée, mais de la convergence de plusieurs choix de conception. La chaîne d’exploitation est claire : un attaquant compromet d’abord la SU, une cible « molle ». Il l’utilise ensuite pour charger un firmware malveillant sur les processeurs de sûreté. Ce firmware, contenant une porte dérobée, passe les vérifications d’intégrité grâce à un CRC32 falsifié. Et la protection censée empêcher cet abus, l’interlock de la clé, est elle-même implémentée dans ce même firmware, et donc contournable. C’est l’illustration parfaite du conflit entre la flexibilité opérationnelle, qui pousse vers des interlocks logiciels, et les exigences d’une sécurité sans compromis.

Partie 4 : Scénario d’attaque : provoquer un accident par perte de réfrigérant (SLOCA)

Cette dernière partie est le point de convergence de notre analyse. Nous allons y assembler chaque pièce du puzzle technique et stratégique pour bâtir un scénario d’attaque complet, cohérent et potentiellement dévastateur. C’est une démonstration de faisabilité théorique qui illustre comment une cyberattaque pourrait mener à une fusion du cœur dans un REP moderne.

4.1. La méthodologie de l’attaquant : les « 4 D »

L’attaquant ne vise pas seulement la destruction. Son approche est globale, mêlant analyse technique (arbres de défaillances et d’événements pour trouver le chemin de moindre résistance) et objectifs stratégiques plus larges, que l’on peut résumer par les « 4 D » :

  • Désastre (Disaster) : L’objectif ultime, impliquant un dommage au cœur et un rejet radiologique, même limité, pour un impact sanitaire et environnemental maximal.
  • Destruction (Destruction) : Infliger des dommages physiques irréversibles aux composants critiques, forçant un arrêt définitif de la centrale et une perte économique abyssale.
  • Perturbation (Disruption) : Provoquer un arrêt prolongé de la centrale, créant un chaos majeur sur le réseau électrique et dans l’économie.
  • Déception (Deception) : Manipuler les systèmes d’information pour semer la confusion chez les opérateurs et la panique dans le public, démultipliant l’impact psychologique et politique.
4.2. L’événement initiateur : l’ouverture forcée des vannes du pressuriseur (PSRVs)

Le scénario d’attaque retenu est celui d’un accident par petite brèche du circuit primaire, ou SLOCA (Small Loss of Coolant Accident), initié de manière purement cybernétique. L’implant malveillant, désormais actif sur les unités logiques d’actionnement (ALU) du système de protection (ESFAS), force l’ouverture simultanée et maintenue de deux des trois vannes de sûreté du pressuriseur (Pressurizer Safety Relief Valves – PSRVs).

Le pressuriseur est le composant qui régule la pression du circuit primaire. En forçant l’ouverture de ses vannes, l’attaquant crée une fuite continue de vapeur et d’eau. Ce scénario est un écho direct et intentionnel à l’accident de Three Mile Island (TMI) en 1979, où une vanne similaire était restée bloquée en position ouverte.

4.3. La course contre la machine : paralyser les contre-mesures

Mais le véritable coup de maître de l’attaque ne réside pas dans cette simple ouverture de vanne. Il est dans sa capacité diabolique à anticiper et à paralyser, une par une, toutes les contre-mesures, qu’elles soient automatiques ou manuelles.

  • Inhibition des protections automatiques : En même temps qu’il ouvre les vannes, l’implant actif sur le système de protection (RPS/ESFAS) bloque toutes les actions de sûreté qui devraient normalement se déclencher face à un SLOCA. Il inhibe l’injection d’eau borée de secours (SIS), empêche le démarrage du refroidissement à l’arrêt (RHRS), et paralyse toute autre séquence de mitigation automatique.
  • Neutralisation des actions manuelles des opérateurs : C’est ici que l’attaque atteint son paroxysme. Dans la salle de commande, les opérateurs voient la pression chuter et les alarmes s’allumer. Ils tentent d’intervenir manuellement et envoient, via leurs consoles (SICS), un ordre de fermeture des vannes PSRV. Mais ces commandes ne vont pas directement aux vannes. Elles transitent par un système appelé Priority and Actuator Control System (PACS). Au même moment, l’implant malveillant sur le système de protection (PS) envoie en boucle un ordre d’ouverture des mêmes vannes au même PACS. Or, par conception, le PACS est programmé pour donner la priorité absolue aux ordres venant du système de protection (PS) sur ceux des commandes manuelles. L’opérateur perd donc la « course » contre la machine : ses ordres de fermeture sont systématiquement ignorés, écrasés par les ordres d’ouverture de l’implant. L’attaquant ne viole pas les règles du système ; il les retourne contre lui pour rendre les opérateurs impuissants.
4.4. Simulation d’un « Cyber Three Mile Island »

La suite des événements a été modélisée avec le logiciel de simulation d’accidents graves PCTran. Les résultats sont sans appel : une dégradation rapide et inéluctable de l’état du réacteur, menant au dénoyage du cœur en moins d’une heure.[2, 2] La vitesse de cette dégradation est une arme en soi. Elle laisse une fenêtre de temps infime aux opérateurs pour comprendre une situation inédite – une centrale qui se bat activement contre eux – et imaginer une parade non conventionnelle, comme couper physiquement l’alimentation des vannes.

Le tableau suivant résume la chronologie de cet accident simulé :

Temps Événement Clé Conséquence Physique
0 s Début de l’attaque : 2 PSRVs ouvertes par l’implant Début du SLOCA, chute de pression dans le circuit primaire.
69 s Arrêt d’urgence du réacteur (SCRAM) Déclenché par la basse pression. La production de puissance s’arrête, mais la chaleur résiduelle demeure.
79 s Inhibition de l’Injection de Sécurité (HPSI) L’implant bloque l’injection d’eau borée qui devrait compenser la perte de réfrigérant.
98 s Rupture des disques du réservoir de décharge (PRT) Le flux continu des PSRVs fait éclater les disques. Le réfrigérant se déverse dans l’enceinte de confinement.
520 s Début de l’ébullition dans le cœur La pression continue de chuter, le point d’ébullition de l’eau est atteint. Des vides (vapeur) se forment dans le cœur.
3029 s (49 min) Dénoyage du cœur Le niveau d’eau a tellement baissé que la partie supérieure du combustible n’est plus refroidie.
>3029 s Excursion de température et fusion du cœur La température du combustible monte de façon exponentielle, menant à la fusion partielle ou totale.

Conclusion

Au terme de cette analyse, le constat est sans appel : une cyberattaque physique contre un réacteur nucléaire moderne, bien que d’une complexité extrême, n’est plus du domaine de la fiction. La chaîne d’exploitation est cohérente et s’appuie sur la convergence de plusieurs faiblesses : une cible accessible et privilégiée (la Service Unit), une protection par interlock dont l’implémentation est logicielle et non matérielle, une validation d’intégrité des firmwares basée sur des mécanismes faibles (CRC32), et une exploitation fine de la physique du réacteur et des logiques de priorité de ses systèmes.

Un accident de type Tchernobyl, avec explosion du réacteur et rejet massif, reste hautement improbable dans un REP moderne, grâce à sa physique intrinsèquement plus stable et à son enceinte de confinement. Cependant, notre analyse montre qu’un scénario de type « Cyber Three Mile Island » est tout à fait concevable : une fusion du cœur contenue dans l’enceinte, sans rejet radiologique majeur, mais avec des conséquences économiques, politiques et psychologiques incalculables. Cela signifierait la perte d’un actif de plusieurs milliards d’euros et pourrait sonner le glas du développement de l’énergie nucléaire.

Ce constat résonne avec une acuité particulière à l’heure où le monde se tourne vers les Petits Réacteurs Modulaires (SMRs). Ces derniers, qui miseront encore plus sur l’automatisation, le contrôle à distance et potentiellement l’intelligence artificielle, introduiront de nouveaux défis de cybersécurité.[3, 4, 5] Pour ne pas répéter les erreurs du passé, il est crucial que les leçons tirées de l’analyse de plateformes comme Teleperm XS soient intégrées dès la conception des SMRs. Il faut adopter une philosophie de « sécurité dès la conception » (security by design) qui traite la cybersécurité avec la même rigueur que la sûreté nucléaire.[3, 6]

Face à ces menaces, la transparence, la recherche offensive éthique et la formation continue sont nos meilleurs atouts pour renforcer la résilience de la filière. Des organismes comme l’AIEA au niveau mondial, ou l’ANSSI en France, jouent un rôle clé en définissant des cadres réglementaires, des guides de bonnes pratiques et en promouvant une culture de la cybersécurité à la hauteur des enjeux.[7, 8, 9, 10, 11, 12] La protection de ces infrastructures critiques n’est plus seulement une affaire de béton et d’acier ; c’est devenu une bataille de l’intelligence, où la compréhension de la menace est notre meilleure défense.

Un immense merci à Ruben Santamarta pour son travail de recherche que vous pouvez retrouver ici 👇

When physics meets (Reverse) engineeringTélécharger
A Practical Analysis of Cyber-Physical Attacks Against Nuclear ReactorsTélécharger

© 2025 Offensive Intelligence. Created with ❤ by Mhack

Mentions légales
error: Content is protected !!