Logiciel malveillant DynoWiper
Au cours de la dernière semaine de décembre 2025, le groupe de pirates informatiques étatique russe plus connu sous le nom de Sandworm a été responsable de ce qui a été décrit comme la plus importante tentative de cyberattaque jamais enregistrée contre le réseau électrique polonais. L'incident s'est déroulé durant les derniers jours de l'année et a été publiquement reconnu par les autorités nationales comme l'attaque la plus intense perpétrée contre l'infrastructure énergétique du pays depuis des années.
Malgré l'ampleur et la sophistication de l'opération, l'attaque a échoué. Le ministre polonais de l'Énergie, Milosz Motyka, a confirmé qu'aucune perturbation de l'approvisionnement en électricité n'avait été constatée.
Table des matières
Infrastructures critiques sous le feu direct des attaques numériques
Les attaques, détectées les 29 et 30 décembre 2025, visaient deux centrales de cogénération et un système de gestion de l'électricité produite à partir de sources renouvelables, notamment des éoliennes et des centrales photovoltaïques. Les forces de cyberdéfense militaires ont qualifié cette activité de campagne cybernétique hostile la plus importante jamais menée contre les infrastructures énergétiques polonaises.
Les chercheurs qui ont analysé l'incident n'ont trouvé aucune preuve que la tentative de sabotage ait eu un quelconque impact opérationnel.
DynoWiper apparaît comme un nouvel outil destructeur
D'après un rapport récemment publié par des spécialistes en sécurité informatique, l'opération a impliqué un logiciel malveillant de type « wiper » jusqu'alors inconnu, nommé DynoWiper et également référencé sous le nom de code Win32/KillFiles.NMO. L'attribution à Sandworm repose sur des similitudes techniques et comportementales avec des campagnes destructrices antérieures liées au même adversaire, notamment celles menées après l'invasion à grande échelle de l'Ukraine par la Russie en février 2022.
Le dispositif de sabotage a été déployé dans le cadre d'une tentative coordonnée de perturber le secteur énergétique polonais, ce qui témoigne de l'investissement continu de l'acteur malveillant dans des outils spécialement conçus pour le sabotage des infrastructures.
Réponse gouvernementale et contre-mesures réglementaires
Les autorités polonaises ont déclaré que tous les indicateurs pointent vers des groupes directement liés aux services russes. En réponse, le gouvernement met en place des mesures de protection supplémentaires, notamment le renforcement de la législation en matière de cybersécurité. Ces mesures devraient imposer des exigences plus strictes en matière de gestion des risques, de protection des systèmes informatiques et opérationnels, ainsi que de traitement des cyberincidents affectant les services critiques.
Une date symbolique chargée d’histoire
Le moment choisi pour cette activité revêtait une importance particulière. La tentative d'intrusion dans le réseau électrique polonais coïncidait avec le dixième anniversaire de l'attaque historique de Sandworm contre le réseau électrique ukrainien en décembre 2015. Cette précédente campagne avait exploité le logiciel malveillant BlackEnergy pour déployer un composant destructeur appelé KillDisk, provoquant des coupures de courant de quatre à six heures et privant d'électricité environ 230 000 habitants de la région d'Ivano-Frankivsk.
Une décennie de perturbations persistantes
Sandworm s'est forgé une longue réputation en ciblant les infrastructures critiques, notamment en Ukraine. Dix ans après la panne d'électricité de 2015, le groupe poursuit des objectifs perturbateurs dans de nombreux secteurs.
En juin 2025, des chercheurs ont révélé qu'une organisation ukrainienne d'infrastructure critique avait été victime d'un logiciel malveillant d'effacement de données inédit, baptisé PathWiper, présentant des similitudes fonctionnelles avec HermeticWiper, un autre outil associé à Sandworm. La même année, le groupe a également déployé d'autres familles de logiciels malveillants destructeurs, dont ZEROLOT et Sting, au sein du réseau d'une université ukrainienne. Cette opération a été suivie, entre juin et septembre 2025, d'une vague plus importante d'attaques d'effacement de données visant des entités gouvernementales, énergétiques, logistiques et céréalières ukrainiennes.
Implications stratégiques pour la défense du secteur énergétique
La tentative d'intrusion dans le réseau électrique polonais confirme que Sandworm privilégie les cyberopérations susceptibles d'avoir des conséquences concrètes. L'apparition de DynoWiper, ainsi que le nombre croissant de logiciels de ce type, illustre l'évolution constante des logiciels malveillants destructeurs et souligne l'urgence pour les fournisseurs d'énergie de renforcer leur résilience, leur surveillance et leurs mécanismes de réponse coordonnés, tant dans leurs environnements informatiques que dans leurs environnements opérationnels.
