Nouvelle attaque Sandworm contre la Pologne : comment se protéger contre le malware DynoWiper

Célestine Rochefour

Une attaque cyber massive a visé le système électrique polonais en fin d’année 2025, marquant une nouvelle phase dans la guerre des infrastructures critiques. Selon les autorités polonaises, il s’agissait de l’attaque la plus importante ciblant l’énergie en Pologne depuis des années, orchestrée par le groupe de hackers Sandworm, une entité associée à la Russie. L’attaque, déjouée, utilisait un nouveau malware nommé DynoWiper, conçu pour détruire les données et les systèmes. Cet événement rappelle douloureusement l’attaque historique contre l’Ukraine en 2015 et souligne la vulnérabilité persistante des infrastructures critiques face aux acteurs étatiques. Pour les entreprises françaises, notamment celles du secteur énergétique, cet incident est un avertissement crucial sur la nécessité de renforcer la cybersécurité de leurs systèmes industriels et informatiques.

L’attaque, orchestrée par le groupe Sandworm, a visé deux centrales de cogénération (CHP) ainsi qu’un système de gestion des énergies renouvelables. Selon le Premier ministre polonais, Donald Tusk, « tout indique que ces attaques ont été préparées par des groupes directement liés aux services russes ». L’agence de sécurité informatique ESET, qui a analysé l’incident, a confirmé l’utilisation d’un wiper inédit, baptisé DynoWiper, un logiciel malveillant conçu pour effacer les données de manière irréversible. Bien que l’attaque ait été contrée, elle met en lumière l’évolution des tactiques des acteurs étatiques et la criticité des systèmes énergétiques, qui sont des cibles privilégiées en période de tensions géopolitiques. En France, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) a maintes fois alerté sur les risques pesant sur les opérateurs d’infrastructures vitales (OIV). Comprendre le fonctionnement de DynoWiper et les méthodes de Sandworm est donc essentiel pour anticiper les menaces similaires.

Comprendre l’attaque de Sandworm et le malware DynoWiper

L’attaque polonaise du 29 et 30 décembre 2025 est un cas d’école de cyberattaque étatique visant une infrastructure critique. Sandworm, également connu sous les noms APT44 ou Voodoo Bear, est un groupe de hackers associé au GRU, le renseignement militaire russe. Il est tristement célèbre pour ses opérations de sabotage, notamment l’attaque de 2015 contre le réseau électrique ukrainien, qui avait plongé une région entière dans le noir pendant plusieurs heures. Selon ESET, l’attaque de décembre 2025 est liée à des activités antérieures de Sandworm, notamment l’utilisation de wipers comme HermeticWiper (ou Foxblade) en 2022, au début de l’invasion de l’Ukraine. Le groupe a une longue histoire de ciblage des infrastructures énergétiques, logistiques et gouvernementales.

Le malware DynoWiper est un nouvel outil dans l’arsenal de Sandworm. Un wiper est un type de malware destructeur dont l’objectif n’est pas le vol de données, mais leur suppression totale et irréversible. Contrairement à un ransomware, qui chiffre les données pour exiger une rançon, un wiper vise simplement à paralyser les opérations. DynoWiper est particulièrement dangereux car il est conçu pour cibler les systèmes industriels (OT) et informatiques (IT) en milieu critique. Son déploiement lors de l’attaque polonaise visait à détruire les systèmes de contrôle des centrales et des réseaux d’énergie renouvelable. Bien que l’attaque ait été stoppée, la sophistication de DynoWiper suggère une phase de reconnaissance et de préparation prolongée, typique des attaques étatiques avancées (APT).

Caractéristiques clés de l’attaque Sandworm en Pologne :

  • Date : 29-30 décembre 2025.
  • Cibles : Deux centrales de cogénération (CHP) et un système de gestion des énergies renouvelables (éolien, photovoltaïque).
  • Acteur : Sandworm (APT44), associé aux services de renseignement russes.
  • Malware : DynoWiper, un wiper inédit.
  • Résultat : Attaque déjouée, aucun impact opérationnel rapporté.
  • Contexte géopolitique : Décembre 2025 marque le dixième anniversaire de l’attaque de 2015 contre l’Ukraine.

Les tactiques de Sandworm : de BlackEnergy à DynoWiper

Sandworm a évolué au fil des années, adaptant ses outils et ses tactiques pour contourner les défenses. Son attaque la plus médiatisée reste celle de décembre 2015 contre le réseau électrique ukrainien, qui a utilisé le malware BlackEnergy pour déployer un wiper nommé KillDisk. Cette attaque avait provoqué une panne de courant de 4 à 6 heures pour 230 000 personnes, démontrant la capacité des acteurs étatiques à causer des dommages physiques réels. Depuis, Sandworm a multiplié les attaques contre les infrastructures ukrainiennes, déployant des wipers comme HermeticWiper en 2022, PathWiper en juin 2025, et d’autres variantes comme ZEROLOT et Sting.

L’attaque polonaise de 2025 s’inscrit dans cette continuité. Selon les analystes, Sandworm a probablement utilisé des techniques d’accès initial classiques, comme l’exploitation de vulnérabilités dans les systèmes de supervision et de contrôle industriels (SCADA) ou le spear-phishing ciblant des employés clés. Une fois à l’intérieur du réseau, le groupe a déployé DynoWiper pour effacer les données critiques. La cible spécifique – les systèmes de gestion des énergies renouvelables – est particulièrement pertinente, car ces systèmes sont souvent moins sécurisés que les centrales traditionnelles, avec une forte interconnexion entre les réseaux IT et OT. L’échec de l’attaque suggère une détection rapide, probablement grâce à des outils de surveillance avancés ou à une réponse incidente efficace de la part des autorités polonaises.

Évolution des wipers de Sandworm :

  1. 2015 : BlackEnergy + KillDisk (Ukraine) → Panne de courant.
  2. 2022 : HermeticWiper (Ukraine) → Déploiement lors de l’invasion.
  3. 2025 : PathWiper (Ukraine) → Attaque contre une entité d’infrastructure critique.
  4. 2025 : DynoWiper (Pologne) → Attaque contre les infrastructures énergétiques polonaises.

“Sandworm a une longue histoire d’attaques perturbatrices, en particulier sur les infrastructures critiques de l’Ukraine. En accélérant, Sandworm continue de cibler des entités opérant dans divers secteurs d’infrastructure critique.” – Rapport d’ESET

Les implications pour la cybersécurité des infrastructures critiques en Europe

L’attaque polonaise a des répercussions directes sur la sécurité des infrastructures critiques en Europe, notamment en France. Le Premier ministre polonais a annoncé la préparation de mesures de sauvegarde supplémentaires, y compris une législation clé en cybersécurité qui imposera des exigences strictes en matière de gestion des risques, de protection des systèmes IT et OT, et de réponse aux incidents. Cette législation s’aligne sur les directives européennes, comme la Directive sur la sécurité des réseaux et des systèmes d’information (NIS2), qui renforce les obligations des opérateurs d’infrastructures essentielles.

En France, l’ANSSI joue un rôle central dans la protection des OIV. Selon les derniers rapports, les secteurs de l’énergie, des transports et de la santé sont les plus exposés aux cybermenaces. L’attaque de Sandworm en Pologne démontre que les acteurs étatiques ne se contentent plus de l’espionnage ; ils visent désormais la perturbation pure. Les entreprises françaises doivent donc adopter une approche proactive, incluant la segmentation des réseaux IT/OT, la mise à jour régulière des systèmes industriels, et la formation des équipes aux techniques de détection avancée. Par ailleurs, la collaboration internationale est cruciale ; l’échange d’informations entre les agences de cybersécurité européennes permet d’identifier rapidement les nouvelles menaces.

Statistiques clés sur les cyberattaques contre les infrastructures critiques (2025) :

  • +45% d’augmentation des attaques contre les secteurs énergétiques en Europe depuis 2023 (Source : ENISA).
  • 60% des incidents dans les infrastructures critiques impliquent des acteurs étatiques ou soutenus par un État (Source : Mandiant).
  • 80% des OIV français ont identifié la cybersécurité comme un risque prioritaire en 2025 (Source : ANSSI).

Comment se protéger contre les menaces comme DynoWiper et Sandworm

La protection contre les wipers et les attaques étatiques nécessite une stratégie en couches, intégrant la prévention, la détection et la réponse. Les entreprises françaises, en particulier celles du secteur énergétique, doivent prioriser la sécurisation de leurs systèmes OT, souvent négligés par rapport aux réseaux IT. Une première étape cruciale est l’inventaire complet des actifs matériels et logiciels, y compris les systèmes hérités (legacy) qui peuvent présenter des vulnérabilités non corrigées. La segmentation réseau est également essentielle pour isoler les systèmes critiques et limiter la propagation d’un malware comme DynoWiper.

Ensuite, il est impératif de mettre en place des solutions de détection et de réponse avancées (EDR/XDR) capables de repérer les comportements anormaux, même si le malware est inconnu. Les équipes de sécurité doivent être formées aux techniques de chasse aux menaces (threat hunting) et aux procédures de réponse aux incidents. La mise à jour des systèmes et le patch management sont des bases non négociables ; Sandworm exploite fréquemment des vulnérabilités connues. Enfin, les exercices de simulation d’attaques (red teaming) permettent de tester la résilience des systèmes face à des scénarios réalistes, comme une tentative de déploiement de wiper.

Étapes actionnables pour renforcer la cybersécurité des infrastructures :

  1. Auditer et segmenter les réseaux : Isoler les systèmes OT des réseaux IT et créer des zones de confiance.
  2. Mettre à jour et patcher : Appliquer les correctifs de sécurité sur tous les systèmes, en priorité sur les équipements industriels.
  3. Déployer une surveillance continue : Utiliser des outils de détection comportementale (UEBA) pour identifier les activités suspectes.
  4. Former les équipes : Sensibiliser le personnel aux risques de phishing et aux procédures d’urgence.
  5. Planifier la réponse : Élaborer et tester régulièrement un plan de reprise après incident (PRA) spécifique aux cyberattaques.
  6. Collaborer avec les autorités : S’inscrire aux programmes d’alerte de l’ANSSI et partager les informations de menaces.

Conclusion : Un avertissement pour les infrastructures critiques françaises

L’attaque de Sandworm contre le système électrique polonais, avec le malware DynoWiper, n’est pas un incident isolé, mais le symptôme d’une menace croissante contre les infrastructures critiques européennes. Bien que l’attaque ait été contrée, elle rappelle la détermination des acteurs étatiques à perturber les services essentiels. Pour les opérateurs français, cet événement doit servir de catalyseur pour renforcer leur posture de cybersécurité, en particulier dans les secteurs de l’énergie, des transports et de la santé. La mise en conformité avec la réglementation (NIS2, RGPD) est importante, mais elle ne suffit pas ; une culture de sécurité proactive et une résilience technique sont indispensables.

La prochaine étape pour les entreprises est d’évaluer leur exposition aux menaces APT et de prioriser les investissements dans la sécurisation des systèmes OT. L’ANSSI et les agences européennes restent des alliés précieux dans ce combat. En restant vigilants et en adoptant les meilleures pratiques, les organisations peuvent réduire leur vulnérabilité et contribuer à la sécurité collective. Le temps est venu de passer de la réaction à la prévention, car les attaques comme celle de Sandworm ne feront que se multiplier.

Tableau comparatif : Wiper vs Ransomware | Critère | Wiper (ex: DynoWiper) | Ransomware | Objectif | Détruire les données pour paralyser les opérations | Chiffrer les données pour extorquer une rançon | Impact | Perte totale et irréversible des données | Perte temporaire (si rançon payée) | Motivation | Sabotage, perturbation (souvent étatique) | Profit financier (souvent criminel) | Détection | Difficile (comportement légitime) | Plus facile (demande de rançon) | Exemple | DynoWiper, HermeticWiper | LockBit, BlackCat |

“Tout indique que ces attaques ont été préparées par des groupes directement liés aux services russes.” – Donald Tusk, Premier ministre polonais

# Exemple simplifié de détection comportementale pour un wiper
# Ce code est illustratif et ne doit pas être utilisé en production sans adaptation.
import psutil
import hashlib

def detect_suspicious_file_activity():
    """Surveille l'activité de fichiers pour détecter des patterns de wiper."""
    for proc in psutil.process_iter(['pid', 'name', 'exe']):
        try:
            # Vérifier si un processus accède massivement à des fichiers sensibles
            if proc.info['name'] in ['svchost.exe', 'explorer.exe']:
                # Logique simplifiée : alerte si accès à plus de 100 fichiers/sec
                pass
        except (psutil.NoSuchProcess, psutil.AccessDenied):
            pass

# Dans un environnement réel, intégrer à un SIEM ou une solution EDR
# pour une surveillance en temps réel des systèmes OT/IT.