Dans les derniers jours de décembre 2025, la Pologne a souffert de ce que les autorités décrivent comme la tentative la plus ambitieuse de cyberdéstabilisation contre son système électrique depuis des années. Bien que l'attaque n'ait pas interrompu l'approvisionnement, l'épisode a déclenché les alarmes sur la sophistication et la persistance des acteurs qui pointent vers des infrastructures critiques.
Selon le gouvernement polonais et les recherches publiées par la société slovaque ESET, l'opération a été attribuée au groupe de piratage lié à l'État russe connu sous le nom de Sandworm. Les analystes ESET ont identifié dans cette campagne sans papiers de suppression de données malware, qu'ils ont appelé DynoWiper et a observé des correspondances techniques avec d'autres outils destructeurs utilisés par le même acteur dans le passé. Vous pouvez lire le rapport technique ESET ici: ESET - recherche sur l'attaque du réseau électrique polonais.
Le ministre polonais de l'énergie Miłosz Motyka a rapporté que, malgré l'ampleur de la tentative, les défenses ont évité des dommages opérationnels importants. Ces attaques, qui ont eu lieu entre le 29 et le 30 décembre 2025, visaient deux centrales de cogénération et un système de gestion des énergies renouvelables, comme les parcs éoliens et solaires. Le compte officiel du gouvernement et les mesures annoncées figurent dans la déclaration du premier ministre : Gouvernement polonais - réponse aux cyberattaques.
Selon les experts, l'attribution à Sandworm n'est pas fondée sur une seule coïncidence, mais sur une série de chevauchements de techniques, d'outils et de procédures qui rappellent des campagnes antérieures attribuées à ce collectif, responsable en 2015 d'une attaque qui a laissé une partie de la région Ivano-Frankivsk en Ukraine sans électricité. Ce précédent, qui a combiné le BlackEnergy Trojan et l'essuie-glace KillDisk, reste une référence inconfortable à ce que ces opérations peuvent causer lorsqu'elles atteignent leur objectif: l'analyse de l'anniversaire du blackout en Ukraine.
Il est important de comprendre ce qu'un "wiper" ou malware de suppression de données fait: contrairement à un ransomware, dont le but est généralement de chiffrer les données pour demander le sauvetage, un essuie-glaces cherche à endommager ou supprimer l'information irréversiblement et souvent supprimer les traces médico-légales. Les essuie-glaces sont conçues pour causer des dommages et non des profits et lorsqu'il est utilisé contre les systèmes de contrôle industriel (OT) peut affecter de la disponibilité des services à la capacité de récupérer des opérations normales sans recourir à des sauvegardes intactes.
La campagne de fin 2025 s'inscrit dans une tendance observée au cours de l'année, dans laquelle des acteurs comme Sandworm ont testé des variantes et des familles de malwares destructeurs avec cible dans des secteurs tels que l'énergie, les transports, la logistique et l'administration publique. En juin 2025, par exemple, des chercheurs de Cisco Talos ont signalé l'émergence d'un essuie-glace appelé PathWiper qui a affecté une entité d'infrastructure critique en Ukraine, et d'autres rapports ont documenté des variantes telles que ZEROLOT et Sting dans des attaques dirigées contre des réseaux universitaires et des secteurs clés au cours de la même période. Pour ceux qui veulent approfondir le travail de Talos et ses alertes, le blog de Cisco Talos est un bon point de départ : Cisco Talos - blog.
Face à cette réalité, les autorités polonaises ont annoncé des renforcements juridiques et techniques. Le Premier ministre Donald Tusk a souligné la nécessité de renforcer les normes en matière de gestion des risques, de protection des systèmes de TI et d'OT et de protocoles d'intervention en cas d'incident, mesures qui visent à accroître la résilience aux prochaines campagnes. Reuters a couvert la déclaration du ministre et le diagnostic de la tentative ratée : Reuters - couverture des incidents.
Pour les entreprises d'infrastructure et les opérateurs, ce type d'attaque offre plusieurs leçons pratiques. Maintenir les réseaux OT et IT segmentés, valider et protéger les sauvegardes (de préférence avec des répliques gaspillées d'air), mettre en œuvre une détection précoce basée sur le comportement et enrichir le renseignement de menace avec les indicateurs de campagne précédents sont des mesures qui peuvent faire la différence entre une reprise rapide et une crise prolongée. Coopération internationale et échange de renseignements entre les sociétés de cybersécurité et les gouvernements Ils sont également critiques parce que les adversaires ne respectent pas les frontières et réutilisent souvent les outils et tactiques connus.
Au-delà de la technique, l'épisode polonais met en lumière une question géopolitique : lorsque les opérations sont attribuées à des groupes ayant des liens avec l'État, les réponses ne sont pas seulement techniques mais aussi diplomatiques et stratégiques. Les sanctions, les accusations publiques et les renforts défensifs font souvent partie du répertoire, mais la prévention à long terme exige des investissements constants dans les talents, les infrastructures et les politiques publiques qui élèvent le seuil dissuasif.
Bref, ce qui s'est passé en Pologne à la fin de décembre 2025 rappelle que les réseaux et systèmes d'électricité qui gèrent la transition énergétique sont des cibles attrayantes pour les acteurs ayant des capacités sophistiquées. Les défenses réactives ne suffisent pas : des stratégies globales, à jour et coordonnées sont nécessaires protéger ce qui, aujourd'hui plus que jamais, est devenu une infrastructure essentielle pour la vie quotidienne et la sécurité collective.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...
PinTheft l'explosion publique qui pourrait vous donner racine sur Arch Linux
Une nouvelle explosion publique a fait ressortir la fragilité du modèle de privilèges Linux : l'équipe de sécurité V12 a qualifié l'échec de Vol d'épingles et publié un test de ...