Nous suivre Industrie Techno

Automates : attention aux virus !

PHILIPPE RICHARD

Sujets relatifs :

,
Automates : attention aux virus !

L'Agence nationale de la sécurité des systèmes d'information (Anssi) a publié en juin 2012 un guide consacré aux systèmes industriels. Il propose une méthode de déploiement de la sécurité du système d'information en milieu industriel : sensibilisation, prévention, surveillance, traitement, plan de reprise et de continuité. Ce document est illustré par des situations réelles.

© D.R.

La multiplication des passerelles entre les systèmes d'information des entreprises et le Web soumet les réseaux industriels au risque de piratage informatique. La mise en place de mesures de protection est indispensable.

La bête noire des systèmes Scada vient de refaire parler d'elle. Fin février, des chercheurs de l'éditeur d'antivirus Symantec ont annoncé avoir découvert l'une des premières versions du « ver informatique » Stuxnet. Créée en 2005, elle aurait été active entre 2007 et 2009, soit avant la version qui a touché la centrale nucléaire de Bouchehr en Iran, en 2010, provoquant la dégradation en série de centrifugeuses. D'origine vraisemblablement américaine, Stuxnet est un ver « relativement classique, puisqu'il a exploité plusieurs failles de Windows non corrigées. Il vise des systèmes de contrôle industriels que l'on trouve sur des sites sensibles. Stuxnet analyse les systèmes informatiques et recherche certains critères - un contrôleur particulier, notamment - pour cibler de manière sûre des machines industrielles », précise Éric Filiol, directeur du laboratoire de cryptologie et de virologie opérationnelles à l'école informatique Esiea de Laval.

Ce code malveillant, un cheval de Troie difficile à repérer à cause de techniques de furtivité, a ébranlé le mythe selon lequel les systèmes industriels n'étaient pas vulnérables aux menaces informatiques.

Une menace potentielle

Trois ans après l'attaque par Stuxnet, aucun autre site sensible n'a été touché... officiellement. Cela ne signifie pas qu'il n'y a pas eu d'opérations similaires à celle visant l'Iran. S'il y en a eu, elles étaient suffisamment ciblées pour rester à ce jour inconnues. Une chose est sûre : on trouve sur Internet des vidéos montrant la prise de contrôle de systèmes Scada (Supervisory control and data acquisition), dédiés au contrôle des installations techniques.

« Le logiciel Scada étant principalement responsable des opérations critiques et des infrastructures nationales, une attaque de cette nature pourrait non seulement entraîner la perte de données, mais aussi causer des dommages aux actifs corporels et, dans le pire des scénarios, des pertes humaines », explique Jean-Pierre Carlin, directeur régional Europe du Sud et Benelux de LogRhythm, une société américaine spécialisée notamment dans les solutions de gestion de logs. La situation pourrait devenir plus délicate à l'avenir, car la tendance est très forte de relier les systèmes industriels avec les solutions de gestion en temps réel. « Cela entraîne une mixité qui expose très fortement les réseaux industriels », s'inquiète Gérôme Billois, manager sécurité et gestion des risques chez Solucom.

Les faiblesses des automates

Stuxnet et ses déclinaisons supposées que sont Flame et Duqu ont mis en lumière les faiblesses au niveau de l'architecture et de la conception des automates et des systèmes industriels. Ils utilisent des technologies standards, qui les rendent assez semblables à des PC. Et donc tout aussi vulnérables. Plusieurs types de failles peuvent exister, au niveau du système d'exploitation, de l'antivirus, du pare-feu, ou encore des supports amovibles. Autre lacune souvent constatée : des mots de passe trop simples et non chiffrés, pouvant donc être récupérés plus facilement. « Dès que l'on peut trouver la console d'administration d'un système Scada, il y a de grandes chances pour qu'on puisse en prendre le contrôle », indique Patrick Chambet, RSSI de C2S, filiale informatique de Bouygues SA. Résultat : « 54 % des systèmes Scada accessibles sur Internet en Europe sont vulnérables », signale Thomas Houdy, expert chez Lexsi, un cabinet de conseil en sécurité informatique et de gestion des risques.

La réaction des fabricants et des éditeurs de logiciels

Quatre ans après la découverte de Stuxnet, les industriels ont réagi. « Ces dernières années, de nombreuses discussions et échanges d'informations sur la sécurité ont eu lieu dans divers groupes industriels Scada. Un grand nombre de recherches indépendantes et des groupes de travail, parmi lesquels le Pacs Working Group (www.pacswg.org), ont également été créés », constate Amol Sarwate, responsable du laboratoire de recherche en vulnérabilités de Qualys.

Pointé du doigt avec l'affaire Stuxnet, Siemens a décidé de renforcer sa politique en matière de cybersécurité en mettant notamment en place un Cert (Computer emergency response team) orienté produits d'automatisation industrielle. « Nous étions conscients de ces risques depuis très longtemps, puisque nous mettions déjà à disposition de nos utilisateurs des guides, et ce depuis environ 13 ans. Avec l'épisode Stuxnet, nous sommes passés de la prescription à l'action », explique Jean-Christophe Mathieu, Expert cybersécurité chez Siemens.

Parallèlement à cette politique de sensibilisation, visant à renforcer la collaboration entre deux mondes aux cultures opposées (les informaticiens et les automaticiens), l'industriel propose depuis moins d'un an toute une gamme d'équipements très sécurisés. C'est le cas notamment avec Simatic S7-1500, pour l'automatisation des machines et des installations dans la gamme moyenne à forte puissance. La protection contre l'accès bloque toute modification non autorisée de la configuration. Des droits d'accès distincts peuvent être attribués à différents groupes d'utilisateurs, grâce à divers niveaux d'autorisation. « Il y a également un programme qui empêche toute manipulation de code à l'intérieur de l'automate, pour éviter des attaques de type Stuxnet », précise Jean-Christophe Mathieu.

Les contraintes des industriels

La situation est plus délicate avec les anciennes versions, soit la majorité du parc. « Tant qu'ils restent sur des réseaux fermés, les risques sont limités. Mais les connexions avec des réseaux externes, voire Internet, via des passerelles, se sont multipliées ces dernières années », constate Patrick Chambet. Lorsque des vulnérabilités sont découvertes, les industriels et les clients hésitent à appliquer un patch, de peur que le fonctionnement de l'équipement ne soit plus optimisé. C'est par exemple le cas d'ABB, qui a annoncé qu'il n'allait pas corriger une faille affectant toute une gamme de produits Scada. L'industriel considère en effet que cette gamme est en fin de vie. Elle est pourtant toujours très utilisée dans l'industrie

Des solutions de sécurité

« De nombreuses solutions de sécurité ont vu le jour. Elles permettent de compenser une partie des vulnérabilités des systèmes. Nous pouvons en particulier citer les pare-feu industriels, tels ceux conçus par la société Tofino ou encore Industrial Defender. Des solutions plus classiques de sécurité (pare-feu, détection d'intrusion...) peuvent également être utilisées et dans une certaine mesure adaptées aux technologies des réseaux industriels », explique Gérôme Billois, chef de projet chez Solucom et responsable du groupede travail « Sécurité Scada » au sein du Club de la sécurité de l'information français (Clusif).

Une part importante des vulnérabilités constatées sur les installations résulte du manque d'application de pratiques élémentaires. « Il faut convaincre les automaticiens d'adopter les bonnes pratiques en matière de sécurité informatique. Un réflexe qui leur est moins naturel qu'aux directeurs des systèmes d'information : le choc des cultures existe toujours. Il faut en passer par des démonstrations prouvant qu'il est facile de prendre la main sur un système Scada. Dans ce cas, les industriels comprennent les enjeux et consentent à changer des paramètres ou à appliquer des mises à jour », explique Patrick Chambet. « Les entreprises doivent analyser régulièrement leur infrastructure réseau de manière proactive, afin de repérer des vulnérabilités dans leur logiciel Scada », insiste Amol Sarwate de chez Qualys.

LES DERNIÈRES FAILLES CONSTATÉES

EDR-G903 14 février 2013 DÉCOUVERTE D'UNE FAILLE dans les versions antérieures à 2.11 du système Scada, permettant à un attaquant de provoquer une atteinte à la confidentialité des données. La faille a été corrigée. Unity pro 5.0 L 18 janvier 2013 DÉCOUVERTE D'UNE FAILLE DE SÉCURITÉ concernant le système de mise à jour. Un correctif a été mis à disposition. Autres appareils concernés : Smart Widget H8035, M, S, XL, Vijeo Designer version 6.1.0.x, Vijeo Designer Opti version 5.1.0.x, Siemens Siemens CP 1616 13 février 2013 DÉCOUVERTE DE VULNÉRABILITÉS dans les systèmes Scada, permettant notamment à un attaquant de provoquer une exécution de code arbitraire à distance. La faille a été corrigée. Autre appareil concerné : Siemens CP 1604

EN PRATIQUE

Comment se protéger ? - Contrôler l'accès à certains équipements et à l'information. - Contrôler l'usage de certains équipements et de l'information. - Veiller à l'intégrité des données, via une protection contre des modifications non autorisées. - Veiller à la confidentialité des données. - Contrôler les flux de données pour éviter une diffusion non souhaitée.

vous lisez un article d'Industries & Technologies N°0953

Découvrir les articles de ce numéro Consultez les archives 2013 d'Industries & Technologies

Bienvenue !

Vous êtes désormais inscrits. Vous recevrez prochainement notre newsletter hebdomadaire Industrie & Technologies

Nous vous recommandons

RGPD : les technos pour respecter la réglementation

RGPD : les technos pour respecter la réglementation

C'est un tournant majeur pour bon nombre d'entreprises ayant des activités numériques. Plus aucune fuite de données[…]

CYBERSECURITE : LE SECTEUR ÉNERGÉTIQUE SOUS TENSION

CYBERSECURITE : LE SECTEUR ÉNERGÉTIQUE SOUS TENSION

Enedis se mobilise après le passage d'Irma

Enedis se mobilise après le passage d'Irma

Le quantique entre dans l'ère industrielle

Le quantique entre dans l'ère industrielle

Plus d'articles