Une attaque par ransomware a récemment frappé l’Administration nationale des eaux roumaines à es pirates ont exploité BitLocker, intégré à Windows, pour verrouiller près de 1 000 systèmes. L’incident a perturbé le système d’information, sans affecter l’exploitation hydraulique.
Le week-end dernier, la Direction nationale de la cybersécurité roumaine a été alertée d’une cyberattaque touchant l’Administration nationale « Apele Române ». En quelques heures, des centaines de postes et de serveurs étaient devenus inaccessibles. Dix des onze directions régionales de gestion des bassins hydrographiques ont alors vu leurs systèmes informatiques chiffrés, dont les serveurs SIG, les bases de données et les outils de messagerie.
Les premières analyses ont rapidement établi que les assaillants avaient activé BitLocker, la fonction de chiffrement native de Windows, pour verrouiller les fichiers et déposer une demande de rançon.
Faute de site web opérationnel, le DNSC a diffusé ses informations et recommandations via son compte X, afin de centraliser les mises à jour publiques liées à l’incident.
Les cybercriminels ont détourné BitLocker pour verrouiller les systèmes
L’attaque a touché un périmètre large. Les équipes techniques n'ont pu que constater le chiffrement de serveurs d’applications, de bases de données, de postes de travail Windows et de contrôleurs de domaine. Environ 1 000 systèmes ont été affectés, selon les autorités roumaines. Le mode opératoire se distinguait par sa simplicité apparente. BitLocker, l'outil de défense composant standard de Windows, avait servi de mécanisme de verrouillage.
Dans un message publié sur X, que vous pouvez lire ci-dessous, la Direction nationale de la cybersécurité a confirmé que « les attaquants ont utilisé la fonctionnalité BitLocker intégrée à Windows pour chiffrer les fichiers sur les systèmes compromis ». Le même message précisait que l’enquête était en cours et appelait à suivre uniquement les canaux officiels pour éviter toute information erronée.
Cette utilisation d’un outil natif a compliqué la détection. Les solutions de sécurité identifient habituellement des exécutables malveillants ou des comportements suspects. Ici, le chiffrement provenait d’un mécanisme signé et reconnu par le système d’exploitation. Le vecteur d’entrée du réseau n’avait pas encore été identifié au moment des premières communications officielles.
Les auteurs de l’attaque ont laissé une demande de rançon exigeant un contact sous sept jours. Le DNSC a alors rappelé sa position habituelle. Les victimes d’attaques par rançongiciel doivent éviter toute négociation afin de ne pas alimenter ce type d’activité.
Les infrastructures hydrauliques ont continué de fonctionner sans interruption
Malgré l'impact de la cyberttaque, les activités liées à la gestion de l’eau se sont déroulées normalement. Les technologies opérationnelles, qui pilotent directement les barrages et les ouvrages hydrotechniques, n’ont pas été touchées. Les centres de répartition ont pu coordonner les opérations par communications vocales, téléphone et radio.
L’Administration nationale « Apele Române » ont en effet indiqué que les installations hydrauliques étaient exploitées localement par le personnel sur site. Les missions de surveillance, de prévision et de protection contre les inondations ont pu donc continuer à fonctionner sans dépendre des systèmes chiffrés.
Côté IT, les équipes ont engagé une restauration progressive. Les comptes utilisateurs ont été rétablis en priorité. Certaines applications critiques ont quant à elle été déplacées vers des environnements sécurisés afin d’assurer la continuité des activités internes. La messagerie et les outils financiers ont pour leur part fait l’objet de travaux techniques étalés sur plusieurs semaines.
Les autorités ont également reconnu qu’avant l’attaque, l’infrastructure de l’Administration des eaux n’était pas intégrée au système national de protection des infrastructures informatiques critiques. Après l’incident, des démarches ont été engagées pour rattacher ces réseaux aux dispositifs opérés par le Centre national de cyber‑renseignement.
