Le site nucléaire de Sellafield piraté par des groupes liés à la Russie et à la Chine | Industrie de l’énergie

Le site nucléaire le plus dangereux du Royaume-Uni, Sellafield, a été piraté par des cybergroupes étroitement liés à la Russie et à la Chine, peut révéler le Guardian.

Cette révélation étonnante et ses effets potentiels ont été systématiquement dissimulés par les cadres supérieurs du vaste site de déchets nucléaires et de déclassement, a révélé l’enquête.

Le Guardian a découvert que les autorités ne savent pas exactement quand les systèmes informatiques ont été compromis pour la première fois. Mais des sources affirment que les violations ont été détectées pour la première fois dès 2015, lorsque les experts ont réalisé que des logiciels malveillants dormants – des logiciels qui peuvent se cacher et être utilisés pour espionner ou attaquer des systèmes – avaient été intégrés dans les réseaux informatiques de Sellafield.

On ne sait toujours pas si le malware a été éradiqué. Cela pourrait signifier que certaines des activités les plus sensibles de Sellafield, telles que le déplacement des déchets radioactifs, la surveillance des fuites de matières dangereuses et la détection des incendies, ont été compromises.

Des sources suggèrent qu’il est probable que des pirates étrangers aient accédé aux plus hauts niveaux de matériel confidentiel sur le site, qui s’étend sur 6 km² (2 miles carrés) sur la côte de Cumbrie et est l’un des plus dangereux au monde.

L’ampleur des pertes de données et des risques persistants pour les systèmes a été rendue plus difficile à quantifier par l’incapacité de Sellafield à alerter les régulateurs nucléaires pendant plusieurs années, ont indiqué des sources.

Les révélations ont émergé dans Nuclear Leaks, une enquête du Guardian d’un an sur le cyberpiratage, la contamination radioactive et la culture de travail toxique à Sellafield.

Le site possède le plus grand stock de plutonium de la planète et constitue une vaste décharge pour les déchets nucléaires issus de programmes d’armement et de décennies de production d’énergie atomique.

Gardé par des policiers armés, il détient également des documents de planification d’urgence à utiliser si le Royaume-Uni devait subir une attaque étrangère ou faire face à une catastrophe. Construit il y a plus de 70 ans et anciennement connu sous le nom de Windscale, il produisait du plutonium pour les armes nucléaires pendant la guerre froide et a absorbé des déchets radioactifs d’autres pays, dont l’Italie et la Suède.

Le Guardian peut également révéler que Sellafield, qui compte plus de 11 000 employés, a été soumise l’année dernière à une forme de « mesures spéciales » pour des manquements constants en matière de cybersécurité, selon des sources de l’Office de réglementation nucléaire (ONR) et des services de sécurité.

On pense également que l’organisme de surveillance se prépare à poursuivre en justice des individus pour cyberdéfaillances.

L’ONR a confirmé que Sellafield ne respectait pas ses normes en matière de cybersécurité, mais a refusé de commenter les violations ou les allégations de « dissimulation ».

Un porte-parole a déclaré : « Certaines questions spécifiques font l’objet d’enquêtes en cours, nous ne sommes donc pas en mesure de commenter davantage pour le moment. »

Dans un communiqué, Sellafield a également refusé de commenter son incapacité à informer les régulateurs, se concentrant plutôt sur les améliorations qu’il affirme avoir apportées ces dernières années.

Le secrétaire d’État fantôme du Labour chargé de la sécurité énergétique et du zéro net, Ed Miliband, a déclaré qu’il s’agissait d’un « rapport très préoccupant sur l’une de nos infrastructures énergétiques les plus sensibles ».

« Cela soulève des allégations qui doivent être traitées avec le plus grand sérieux par le gouvernement », a-t-il déclaré.

“Le gouvernement a la responsabilité de dire quand il a eu connaissance de ces allégations, quelles mesures lui et le régulateur ont prises et de fournir des assurances quant à la protection de notre sécurité nationale.”

Le problème des serveurs non sécurisés à Sellafield a été surnommé Voldemort en hommage au méchant de Harry Potter, selon un responsable gouvernemental familier avec l’enquête de l’ONR et les pannes informatiques du site, car il était très sensible et dangereux. Il s’agissait de données hautement sensibles qui pourraient être exploitées par les ennemis de la Grande-Bretagne. Le réseau de serveurs de Sellafield a été qualifié par le responsable de « fondamentalement non sécurisé ».

L’ampleur du problème n’a été révélée que lorsque le personnel d’un site externe a découvert qu’il pouvait accéder aux serveurs de Sellafield et l’a signalé à l’ONR, selon un initié du chien de garde.

D’autres préoccupations incluent la possibilité pour des sous-traitants externes de brancher des clés USB sur le système sans surveillance.

Lors d’un incident très embarrassant en juillet dernier, des informations de connexion et des mots de passe pour des systèmes informatiques sécurisés ont été diffusés par inadvertance à la télévision nationale par la série nature BBC One Countryfile., après que les équipes ont été invitées sur le site sécurisé pour un article sur les communautés rurales et l’industrie nucléaire.

L’ONR a préparé un avis de poursuite contre Sellafield en matière de cybersécurité – un forme de mesure coercitive qu’il ne peut prendre que s’il estime qu’il existe « des preuves suffisantes pour offrir une perspective réaliste de condamnation ».

Les problèmes de cybersécurité sont connus des hauts responsables du site nucléaire depuis au moins une décennie, selon un rapport daté de 2012, consulté par le Guardian, qui avertissait qu’il existait des « vulnérabilités critiques en matière de sécurité » qui devaient être corrigées de toute urgence.

Il a constaté que les ressources de sécurité à l’époque n’étaient « pas adéquates pour contrôler la menace interne ». [from staff] … et encore moins réagir à une augmentation significative de la menace extérieure ».

Plus d’une décennie plus tard, le personnel de Sellafield, les régulateurs et des sources au sein de la communauté du renseignement estiment que les systèmes de la vaste décharge de déchets nucléaires ne sont toujours pas adaptés à leur objectif. Ils pensent également que les hauts dirigeants ont délibérément tenté de dissimuler l’ampleur des problèmes posés par les problèmes de cybersécurité sur le site aux responsables de la sécurité chargés de tester la vulnérabilité du Royaume-Uni aux attaques ces dernières années. Cela fait l’objet de potentielles poursuites.

Les responsables de la sécurité s’inquiètent également du fait que l’ONR ait mis du temps à partager ses renseignements sur les cyberdéfaillances de Sellafield, car ils indiquent que son propre contrôle est inefficace depuis plus d’une décennie.

Le le dernier rapport annuel de l’ONR indiquait que « des améliorations sont nécessaires » de Sellafield et d’autres sites afin de faire face aux risques de cybersécurité. Il a également confirmé que le site faisait l’objet d’une « attention considérablement accrue » pour cette activité.

L’ONR a déclaré avoir constaté des « lacunes » en matière de cybersécurité lors de ses inspections et a noté qu’il avait pris des « mesures coercitives » en conséquence.

L’ampleur des préoccupations en matière de cybersécurité est telle que certains responsables estiment que de nouveaux systèmes entiers devraient être construits de toute urgence au centre de contrôle d’urgence voisin de Sellafield – une installation sécurisée distincte.

Parmi les documents hautement sensibles stockés à Sellafield figurent des manuels en cas de catastrophe, des plans qui guident les gens à travers les protocoles nucléaires d’urgence et ce qu’il faut faire lors d’une attaque étrangère contre le Royaume-Uni.

Ces documents incluent certains des enseignements tirés de diverses opérations sensibles, notamment l’exercice Reassure en 2005 – et les exercices réguliers Oscar – qui visaient à tester la capacité du Royaume-Uni à gérer une catastrophe nucléaire en Cumbria.

L’ONR était tellement préoccupé par le fait que des sites externes pouvaient accéder aux serveurs de Sellafield, et par une apparente dissimulation de la part du personnel, qu’il a interrogé les équipes avec prudence. Le conseil d’administration de Sellafield a mené une enquête sur le problème en 2013 et l’ONR a averti qu’il exigerait plus de transparence en matière de sécurité informatique.

Les cyberattaques et le cyberespionnage menés par la Russie et la Chine comptent parmi les plus grandes menaces pour le Royaume-Uni, selon les responsables de la sécurité. Le plus récent National Risk Register, un document officiel qui décrit les principaux dangers auxquels le Royaume-Uni pourrait être confronté, inclut une cyber-attaque contre l’infrastructure nucléaire civile.

Ces dernières années, des attaquants issus d’États hostiles ont ciblé des alliés de la communauté de partage de renseignements « Five Eyes ». Les États-Unis ont été attaqués, leurs agences gouvernementales, y compris leur ministère de l’énergie, ayant été ciblées via un logiciel de transfert de fichiers en juin de cette année.

La cyber-aile britannique du GCHQ, qui possède des bureaux au centre de Londres et fait partie du réseau de renseignement national dont le siège est à Cheltenham dans le Gloucestershire, a mis en garde contre un risque accru de cyberattaques contre des infrastructures nationales critiques en provenance de Russie et de Chine.

L’inquiétude croissante du gouvernement concernant l’implication de la Chine dans les infrastructures nationales critiques du Royaume-Uni a entraîné le retrait de la société énergétique publique chinoise CGN du projet nucléaire Sizewell C dans le Suffolk et le retrait des produits Huawei du cœur du réseau de télécommunications ces dernières années.

Cela a mis fin à une période de relations étroites anglo-sino, qui a culminé lorsque le Premier ministre de l’époque, David Cameron, a salué un « âge d’or » entre les deux pays et a bu de la bière avec le Premier ministre chinois, Xi Jinping, dans un pub du Buckinghamshire en 2015.

Le gouvernement de Rishi Sunak a défendu le développement de l’industrie nucléaire du pays après la crise énergétique, reprenant là où son prédécesseur Boris Johnson s’était arrêté.. Plus tôt cette année, Grant Shapps, alors secrétaire à l’Energie, a lancé Great British Nuclear, un organisme conçu pour fournir de nouvelles centrales nucléaires. Une génération de nouveaux projets nucléaires nécessitera à terme une expansion des activités britanniques de démantèlement.

Le démantèlement nucléaire, dont une grande partie est réalisée à Sellafield, constitue l’une des plus grosses pertes sur le budget annuel du département des affaires du gouvernement britannique. Le fonctionnement du site coûte environ 2,5 milliards de livres sterling par an. Le démantèlement est un projet de loi si énorme et à long terme qu’il a été considéré comme un « risque fiscal » pour la santé économique du Royaume-Uni par l’organisme de surveillance des dépenses, l’Office for Budget Responsibility. C’est on estime que la gestion de l’héritage des industries de l’énergie nucléaire et de l’armement du Royaume-Uni pourrait coûter jusqu’à 263 milliards de livres sterling..

Ce chiffre varie considérablement en fonction de la façon dont les flux de trésorerie futurs sont calculés, et l’OBR a averti que les coûts à long terme de Sellafield peut varier de moins 50 % à plus 300 %.

Un porte-parole de Sellafield a déclaré : « Nous prenons la cybersécurité extrêmement au sérieux chez Sellafield. Tous nos systèmes et serveurs disposent de plusieurs couches de protection.

« Les réseaux critiques qui nous permettent de fonctionner en toute sécurité sont isolés de notre réseau informatique général, ce qui signifie qu’une attaque contre notre système informatique ne pourrait pas y pénétrer.

« Au cours des dix dernières années, nous avons évolué pour relever les défis du monde moderne, notamment en mettant davantage l’accent sur la cybersécurité.

« Nous travaillons en étroite collaboration avec notre régulateur. Grâce aux progrès que nous avons réalisés, nous avons convenu d’une voie à suivre pour nous retirer de la réglementation « considérablement renforcée ».

Un porte-parole de l’ONR a déclaré : « Sellafield Ltd ne répond actuellement pas aux normes élevées que nous exigeons en matière de cybersécurité, c’est pourquoi nous lui avons accordé une attention considérablement accrue.

“Certaines questions spécifiques font l’objet d’enquêtes en cours, nous ne sommes donc pas en mesure de commenter davantage pour le moment.”

Avant la publication, Sellafield et l’ONR ont refusé de répondre à un certain nombre de questions spécifiques ou de dire si les réseaux de Sellafield avaient été compromis par des groupes liés à la Russie et à la Chine. Après la publication, ils ont déclaré qu’ils n’avaient aucun document suggérant que les réseaux de Sellafield avaient été attaqués avec succès par des acteurs étatiques de la manière décrite par le Guardian.

Un porte-parole du Département de la sécurité énergétique et du net zéro a déclaré : « Nous attendons les normes de sûreté et de sécurité les plus élevées lors du démantèlement des anciens sites nucléaires, et le régulateur est clair sur le fait que la sécurité publique n’est pas compromise à Sellafield.

« De nombreuses questions soulevées sont historiques et le régulateur travaille depuis un certain temps avec Sellafield pour garantir la mise en œuvre des améliorations nécessaires. Nous attendons des mises à jour régulières sur la façon dont cela progresse.