- Pourquoi les « wiper » sont-ils l'arme de prédilection dans les attaques de type « OT » ?
- Le guide en quatre étapes utilisé par le logiciel malveillant Wiper
- À quoi ressemblent concrètement les attaques de type « wiper » dans les environnements OT ?
- Pourquoi chaque attaque de type « wiper » commence-t-elle par le transfert d'un fichier au-delà d'une frontière de confiance ?
- La dernière cyberattaque visant le secteur énergétique vénézuélien
- Échantillons et indicateurs de balais d'essuie-glace mentionnés dans la présente analyse
- Bloquez les attaques Wiper avant qu'elles ne se concrétisent
Dans notre précédent article de blog, nous avons analysé les principales cyberattaques visant les systèmes ICS et OT entre 2024 et le début de l'année 2026. Une tendance s'est clairement dégagée : les programmes de suppression de données (wipers) sont devenus l'arme de prédilection des acteurs soutenus par des États qui ciblent les environnements de technologies opérationnelles. Six campagnes distinctes de ce type ont touché les secteurs industriels en 2024-2025, notamment les réseaux électriques, les réseaux d'approvisionnement en eau, le secteur de la santé et l'industrie manufacturière à travers le monde.
Cet article examine cette tendance en détail. Il explique pourquoi les programmes de suppression de données sont efficaces dans les environnements OT, passe en revue trois incidents réels et met en évidence le schéma d'attaque récurrent qui les sous-tend. Alors que nous rédigions cet article, un autre exemple est venu s'ajouter. Une nouvelle menace, baptisée « Lotus Wiper », a pris pour cible le secteur énergétique vénézuélien. Ce cas est présenté dans la dernière section.
Pourquoi les « wiper » sont-ils l'arme de prédilection dans les attaques de type « OT » ?
Les « wipers » sont conçus pour détruire des données, ce qui les distingue fondamentalement des ransomwares. Comme ils ne permettent pas de se livrer à l'extorsion, ils ne constituent pas un outil utile pour les cybercriminels motivés uniquement par l'appât du gain. En revanche, ils s'avèrent très efficaces pour les acteurs dont l'objectif est de provoquer des perturbations ou des dommages, en particulier lorsqu'ils cherchent à traduire leurs cyberopérations en conséquences concrètes tout en conservant un haut degré d'anonymat. C'est pourquoi les « wipers » sont souvent associés à des activités soutenues par des États.
Dans les environnements informatiques traditionnels, les programmes de suppression de données visent principalement à détruire des fichiers. Bien que cela puisse être très perturbant, les conséquences sont souvent réversibles si des sauvegardes fiables sont en place. La situation est toutefois différente dans les environnements OT et ICS. Les systèmes tels que les serveurs SCADA, les postes de travail d'ingénierie et les écrans IHM ne se contentent pas de stocker des données. Ils contrôlent et surveillent activement des processus physiques. Lorsque les données de ces systèmes sont détruites, les opérateurs perdent la visibilité et le contrôle des opérations, devenant ainsi aveugles à ce qui se passe sur le terrain.
C'est là que les programmes de destruction de données deviennent particulièrement dangereux. Ils peuvent faire le lien entre les cyberattaques et les conséquences physiques. C'est précisément pour cette raison que les acteurs soutenus par des États y ont fréquemment recours. On observe souvent leur utilisation dans des régions en proie à des conflits armés ou à des tensions géopolitiques accrues, où l'objectif principal est de semer le chaos.
Le guide en quatre étapes utilisé par le logiciel malveillant Wiper
Tous les programmes de destruction analysés, quels que soient leur langage de programmation, leur plateforme ou leur niveau de complexité, suivent le même schéma de base. La compréhension de ces phases constitue un point de départ concret pour se prémunir contre les attaques de ce type.
Phase 1 : Initialisation
Le programme d'effacement prépare sa charge utile de corruption, en générant généralement des données pseudo-aléatoires à l'aide d'un générateur de nombres aléatoires classique. Les données aléatoires rendent la récupération informatique plus difficile que le simple écrasement par des zéros.
Phase 2 : Découverte
Le programme d'effacement recense tout ce qu'il peut détruire en répertoriant les disques, les volumes, les répertoires et les fichiers.
Phase 3 : Destruction
Le programme de suppression ouvre chaque fichier, supprime les attributs de protection et le remplace par des données aléatoires. Certains suppriment également les fichiers après cette opération. D'autres ciblent le Master Boot Record (MBR) ou la Master File Table (MFT), rendant ainsi l'ensemble du disque illisible.
Phase 4 : Anti-récupération
Un redémarrage forcé rend les dommages irréversibles. Le programme de suppression des données s'octroie des privilèges élevés, obtient les droits d'arrêt et redémarre le système. Si jamais celui-ci redémarre, il ne restera plus rien à restaurer.
La section suivante applique ce guide à des incidents réels.
À quoi ressemblent concrètement les attaques de type « wiper » dans les environnements OT ?
DynoWiper — Le réseau électrique polonais
Acteur : Sandworm/ELECTRUM (GRU)
Cible : Pologne, secteur de l'énergie (ressources énergétiques distribuées)
Mode de diffusion : fichier exécutable Windows (binaire PE) diffusé via un réseau compromis
En décembre 2025, Sandworm, l'unité du GRU la plus performante spécialisée dans les systèmes de contrôle industriel (ICS), a pris pour cible les infrastructures électriques polonaises à l'aide de DynoWiper. Selon Dragos, il s'agissait de la première cyberattaque coordonnée à grande échelle visant les ressources énergétiques distribuées (RED).
Une trentaine de sites ont été touchés, notamment des centrales de cogénération, des parcs éoliens et des systèmes de gestion des installations solaires. Contrairement aux attaques précédentes qui visaient principalement les centrales électriques centralisées, cette opération a ciblé des installations plus petites et décentralisées, qui se développent rapidement sur les marchés énergétiques modernes. Ces environnements sont en outre généralement moins bien protégés.
Cette attaque aurait pu toucher jusqu’à 500 000 habitants. Le Premier ministre polonais a déclaré que le réseau de transport d’électricité n’était pas menacé, mais que les pirates avaient accédé aux systèmes de gestion opérationnelle (OT) et mis hors service de manière définitive certains équipements. DynoWiper a suivi à la lettre le scénario en quatre phases : génération d’une charge utile pseudo-aléatoire, recensement des disques durs, écrasement de fichiers et redémarrage forcé. Il s’est exécuté sous la forme d’un binaire compilé conçu pour une destruction systématique.
PathWiper — Les infrastructures critiques de l'Ukraine
Acteur : Russia-nexus (unité non précisée)
Cible : Ukraine, infrastructures critiques (plusieurs secteurs)
Mode de diffusion : dropper VBScript associé à un fichier exécutable
PathWiper a été déployé contre des infrastructures critiques ukrainiennes par un acteur lié à la Russie dans le cadre d'une campagne cybernétique menée en temps de guerre. Alors que DynoWiper visait un secteur spécifique, PathWiper a ciblé les infrastructures critiques de manière plus générale, affectant ainsi plusieurs services essentiels en pleine période de conflit.
Ce qui le distingue, c'est l'exhaustivité de la destruction. PathWiper ne se contente pas de réécrire les fichiers. Il détruit le stockage local au niveau du volume. En temps de guerre, l'effacement des systèmes qui gèrent les services essentiels a des conséquences qui vont bien au-delà de la simple perte de données.
Les quatre mêmes phases s'appliquent, mais PathWiper pousse la phase de destruction plus loin que la plupart des autres programmes. En ciblant le stockage au niveau du volume plutôt que des fichiers individuels, il garantit qu'une récupération judiciaire, même partielle, est pratiquement impossible. L'objectif est l'effacement total, non seulement des données, mais aussi de la capacité du système à fonctionner.
LazyWiper — Le secteur manufacturier polonais
Acteur : Sandworm/ELECTRUM (GRU)
Cible : Pologne, secteur manufacturier
Mode d'attaque : script PowerShell déployé via des objets de stratégie de groupe (GPO)
LazyWiper ne constituait pas une campagne distincte. Il a frappé le même jour que DynoWiper, le 29 décembre 2025, dans le cadre de la même opération coordonnée. Il visait toutefois une entreprise manufacturière, et le CERT Polska l'a qualifié d'attaque opportuniste. Les pirates ont identifié un point d'entrée vulnérable et l'ont exploité.
Ce point d'entrée était un dispositif Fortinet dont la configuration avait été volée et publiée sur un forum criminel. Les attaquants ont utilisé les identifiants divulgués pour établir un accès persistant, ont évolué latéralement vers des privilèges d'administrateur de domaine, puis ont déployé LazyWiper sur chaque machine via GPO. Contrairement au binaire compilé de DynoWiper, LazyWiper est un script PowerShell. Il désactive Defender, utilise les outils de gestion Windows intégrés pour cartographier tous les disques, renomme les fichiers en leur attribuant des noms aléatoires de quatre caractères, puis les écrase avec des données pseudo-aléatoires.
Un détail rend ce cas particulièrement remarquable. CERT Polska a estimé que certaines parties du code chargé d'écraser les fichiers avaient probablement été générées par un grand modèle linguistique, ce qui indique que des logiciels malveillants sont désormais développés avec l'aide de l'IA dans la nature. Si les défenseurs partent du principe que les « wipers » se présenteront toujours sous la forme de logiciels malveillants compilés traditionnels, LazyWiper met en évidence la nécessité de prendre en compte les menaces basées sur des scripts et générées de manière dynamique.
Pourquoi chaque attaque de type « wiper » commence-t-elle par le transfert d'un fichier au-delà d'une frontière de confiance ?
Tous les incidents mentionnés dans cet article, ainsi que ceux évoqués dans le précédent rapport sur le paysage des menaces, ont un point commun : un fichier a franchi une frontière de confiance. Les formats et les modes de transmission varient, mais le schéma reste le même.
- DynoWiper: fichier exécutable Windows diffusé via un réseau compromis
- PathWiper: un dropper VBScript associé à un fichier exécutable
- LazyWiper: script PowerShell déployé via un objet de stratégie de groupe (GPO)
Sandbox Adaptive OPSWATSandbox chaque fichier à chaque frontière de confiance avant qu'il n'atteigne le poste de travail des ingénieurs, avant qu'il n'interagisse avec le système SCADA et avant qu'il ne passe du domaine informatique (IT) au domaine opérationnel (OT). Elle ne repose pas sur l'observation de comportements destructeurs. Au contraire, elle identifie les capacités malveillantes dans un environnement contrôlé avant que le fichier ne soit considéré comme fiable.
Si vous exercez vos activités dans les secteurs de l'énergie, de l'eau, de l'industrie manufacturière, de la santé ou de l'administration publique, les « wipers » font partie intégrante de votre modèle de menaces, qu'ils y soient explicitement pris en compte ou non.
Les programmes de suppression de données évolueront avec de nouveaux langages, modes de diffusion et cibles, mais le schéma reste le même. Un fichier doit arriver, atteindre un système et s’exécuter. Cela a toujours été le cas, de Stuxnet en 2010 à DynoWiper en 2025. L’inspection du fichier avant qu’il ne franchisse la frontière est une mesure de contrôle qui s’applique à tous les programmes de suppression de données, à tous les acteurs et à tous les secteurs.
La dernière cyberattaque visant le secteur énergétique vénézuélien
Alors que cet article était en cours de finalisation, le 21 avril, Kaspersky GReAT a signalé l'existence d'un programme de destruction de données jusqu'alors inconnu, baptisé Lotus Wiper, qui ciblait le secteur de l'énergie et des services publics au Venezuela.
L'attaque est méthodique. Deux scripts batch isolent d'abord la machine en désactivant les services, en désactivant les interfaces réseau et en déconnectant les sessions. Ils effacent ensuite les volumes de disque, écrasent les dossiers et remplissent l'espace de stockage restant. Ce n'est qu'après ces étapes que la charge utile finale s'exécute.
Ce programme de destruction de données se fait passer pour un composant logiciel d'entreprise légitime ; il est diffusé sous forme cryptée et décrypté au moment de son exécution. Une fois activé, le système devient impossible à démarrer et aucune donnée ne peut être récupérée. Il n'y a ni demande de rançon ni indication d'exfiltration de données à des fins lucratives. À l'instar des autres programmes de destruction de données évoqués dans cet article, Lotus Wiper est conçu dans le seul but de détruire les données.
Le même schéma se répète en temps réel. Un fichier franchit une frontière de confiance, s'exécute et détruit tout ce qu'il peut atteindre. L'inspection au niveau du fichier avant le déchiffrement de la charge utile constitue la première occasion d'interception.
Échantillons et indicateurs de balais d'essuie-glace mentionnés dans la présente analyse
Essuie-glace | Type | Cible | Acteur | Hachage / Indicateur |
DynoWiper | Windows PE | Pologne, Énergie | Sandworm/ELECTRUM (GRU) | 835b0d87ed2d49899ab6f9479cddb8b4e03f5aeb2365c50a51f9088dcede68d5 |
PathWiper | Windows PE | Ukraine, infrastructures critiques | Lien avec la Russie | 7c792a2b005b240d30a6e22ef98b991744856f9ab55c74df220f32fe0d00b6b3 |
LazyWiper | PowerShell | Pologne, Industrie manufacturière | Sandworm/ELECTRUM (GRU) | 033cb31c081ff4292f82e528f5cb78a503816462daba8cc18a6c4531009602c2 |
Essuie-glace Lotus | Windows PE | Venezuela, Énergie et services publics | Inconnu (pour des raisons géopolitiques) | 111ea3f5c4a4239a3f5f08de5f243e9d01da9d021fc393e277c1e6cadc27d327 |
Bloquez les attaques Wiper avant qu'elles ne se concrétisent
Les attaques de type Wiper suivent un schéma constant, quels que soient l'environnement, le secteur d'activité ou les auteurs de la menace. Quels que soient leur mode de diffusion ou le langage utilisé, elles obéissent toutes à la même séquence : un fichier franchit une limite de confiance, s'exécute, puis détruit les données du système.
Cette cohérence offre une opportunité évidente en matière de défense. L'identification et l'analyse des fichiers avant qu'ils ne soient considérés comme fiables restent l'un des moyens les plus efficaces d'arrêter les programmes de suppression avant qu'ils ne puissent causer des dommages.
MetaDefender adopte une approche multicouche pour résoudre ce problème. Il combine l'analyse de réputation en temps réel, le sandboxing avancé et la corrélation comportementale afin de détecter les menaces inconnues et furtives avant leur exécution. Son analyse basée sur l'émulation met au jour les charges utiles cachées, décompresse les logiciels malveillants à plusieurs étapes et identifie les indicateurs de compromission sans recourir à des signatures.
Pour les organisations qui gèrent des infrastructures critiques, cette approche permet une détection plus précoce dès le début des attaques, avant que les perturbations n'atteignent les systèmes OT. Pour comprendre comment cela s'applique à votre environnement, contactez un OPSWAT afin de discuter de MetaDefender .
