Nous suivre Industrie Techno

Avis d'expert

Cybersécurité des systèmes industriels : attention, danger !

Cybersécurité des systèmes industriels : attention, danger !

© dr

Fortement informatisés, interconnectés avec les systèmes d’information classiques, voire avec Internet, les systèmes industriels sont exposés à de nombreuses menaces, avec des conséquences potentiellement dévastatrices. Florian Malecki, Directeur Marketing Produit International chez Dell Network Security revient sur les enjeux de la cybersécurité et des bonnes pratiques pour protéger les SCADA.

"En 2010, le ver informatique Stuxnet a défrayé la chronique. Considéré comme la toute première cyber arme conçue pour attaquer une cible industrielle déterminée, Stuxnet cible  spécifiquement les systèmes SCADA utilisés pour le contrôle commande de procédés industriels. Stuxnet a notamment été développé pour  espionner et reprogrammer des systèmes industriels tout en camouflant les modifications effectuées. La criticité des systèmes industriels concernés (centrales hydro-électriques ou nucléaires, systèmes de distribution d'eau potable, oléoducs…) a inquiété – à raison – les responsables informatiques du monde entier.

Stuxnet repose sur une stratégie d’attaque extrêmement sophistiquée, qui associe : auto-réplication via des supports amovibles, propagation de vers sur le réseau via des failles zero-day des services d’impression (Print Spooler) et d’exécution à distance (Remote Procedure Call, RPC) de Windows, un rootkit pour Windows, du code qui s’exécute automatiquement dans les fichiers de projets des logiciels SCADA WinCC/PCS 7 (Step7) et des invites de commande et de contrôle. L’exploitation de plusieurs failles a permis l’insertion du code malveillant dans le microprogramme compilé, lequel a été transmis par le système d’administration de SCADA à l’automate PLC. C’est d’ailleurs le tout premier rootkit pour PLC identifié.

Les successeurs de Stuxnet

Deux autres malware similaires ont été détectés depuis la découverte de Stuxnet, en juin 2010. Il s’agit de Duqu et Flame. A noter, également, que des cas de piratage de systèmes de point de vente (POS) signalés récemment obéissaient à la même logique que celle de Stuxnet, à savoir la compromission du PC Windows associé au système ciblé. Plus récemment, l’affaire « Dragonfly » a de nouveau porté les projecteurs sur les risques de sécurité liés aux réseaux SCADA. Dragonfly serait parvenu à corrompre les sites de trois constructeurs de systèmes de contrôle, insérant un malware dans les mises à jour logicielles qu’ils publient sur leur site à destination de leurs clients. Le malware semble avoir été conçu non seulement dans le but de voler de l’information mais aurait également été en mesure de saboter les systèmes de contrôle. 

On peut supposer que des malware sont d’ores et déjà présent sur les systèmes de contrôle commande et il ne serait pas étonnant qu’on entende parler tôt ou tard de nouveaux cas d’infection de systèmes d’administration de SCADA. La faiblesse des systèmes de contrôle des procédés industriels, réside dans le fait qu’ils reposent généralement sur des équipements et logiciels propriétaires. La plupart ont été conçus avant l’ère des réseaux informatiques, quand la sécurité se limitait encore à des mesures de protection physiques (à savoir la sécurité des locaux) ; ils n’intègrent donc pas de mécanisme d’authentification, de contrôle des autorisations, ni de préservation de l’intégrité et de la confidentialité des données. Leurs principales vulnérabilités se concentrent au niveau du protocole MODBUS (MODBUS+, MODBUS/TCP) et des terminaux d’administration (généralement des PC sous Windows).

Pas adaptés à l'ère de l'Internet

La majorité des systèmes SCADA (PLC) est vulnérable aux tentatives de piratage du réseau par exploitation des faiblesses de protocole. Les terminaux d’administration des systèmes SCADA qui sont connectés à un réseau (en particulier ceux connectés à un réseau externe) sont exposés aux menaces habituelles liées aux programmes malveillants, téléchargés par un utilisateur qui clique sur un lien ou qui ouvre la pièce jointe d’un e-mail ou un fichier infecté sur un support amovible. Certains pirates prennent le contrôle des systèmes SCADA en modifiant le microprogramme PLC quand il est compilé sur une machine (un PC) infectée par un programme malveillant ou en exploitant des failles du protocole MODBUS pour obtenir l’exécution d’opérations non autorisées.

Mais en règle générale, les techniques de piratage des terminaux d’administration de systèmes SCADA sont les mêmes que pour n’importe quel autre système, puisqu’il s’agit généralement de PC sous Windows. Autrement dit, les pirates utilisent les méthodes permettant d’accéder illégalement à un système du réseau ciblé ou à un système permettant de s’infiltrer sur le réseau ciblé : attaque zero-day, technique d’obfuscation pour exploiter du code, propagation d’exécutables malveillants, etc.

Ne pas sous-estimer les risques

Il ne faut pas sous-estimer l’ampleur du risque puisque les attaques pourraient bien être « virales » ou en tout cas facilement réplicables, puisque, comme le précise l’ANSSI dans son guide Maîtriser la SSI pour les systèmes industriels  : « des produits de constructeurs différents s’appuient parfois sur les mêmes technologies et intègrent parfois les mêmes composants matériels et logiciels. Ils contiennent donc dans ce cas des vulnérabilités identiques[…] La standardisation des systèmes et les nouvelles fonctionnalités ont apporté aux systèmes industriels les vulnérabilités du monde de l’informatique de gestion.” Si les précautions d’usage, au premier rang desquelles la sécurisation physique des locaux, continuent de s’appliquer, les responsables informatiques doivent désormais prendre en compte de nouveaux risques. Les menaces concernent la disponibilité des systèmes, l’intégrité de l’ensemble des composants des systèmes industriels, la confidentialité des données sensibles (recettes de fabrication, des quantités de produits utilisés, des plans d’installations, des plans de maintenance, des programmes PLC ou encore des listes d’adresses d’équipements); la traçabilité des événements informatiques.

Déconnecter les systèmes ne suffit pas

Isoler les systèmes en ne les connectant pas à Internet ne suffit pas. Il faut pouvoir identifier si ces mêmes systèmes ne sont pas connectés à d’autres environnements eux-mêmes connectés à Internet et susceptibles d’être contaminés par des malware. En matière de sécurité informatique, deux éléments essentiels sont à prendre en compte :

1. La sensibilisation des utilisateurs aux risques

Un grand nombre d’incidents est lié à une méconnaissance par les intervenants des risques sur l’installation. Certaines mauvaises pratiques relèvent en effet plus de la négligence que d’actions volontaires et malveillantes. En revanche, comme le précise l’ANSSI, leurs effets peuvent être similaires à ceux des attaques. « Elles peuvent créer des vulnérabilités difficiles à détecter, qui pourront être exploitées par des attaquants ou simplement affecter la disponibilité des systèmes. », précise l’agence.

Utiliser une clé USB, par exemple, qu’elle soit personnelle ou fournie par l’entreprise – pour transférer des données entre des systèmes industriels isolés, peut mener à la contamination des systèmes par un virus.

Le système, isolé du réseau, ne risque pas de laisser s’échapper des données et empêche une prise de contrôle à distance. Mais le virus peut générer un ralentissement de la production mais aussi la destruction physique des installations pilotées par l’automate.

Une formation continue des collaborateurs au sujet des risques encourus par les systèmes industriels sur lesquels ils interviennent est donc essentielle.

2. La mise en œuvre de techniques préventives

Sur le plan des technologies à utiliser, elles consisteront en premier lieu à :

  • Protéger les systèmes des accès illicites via une politique élaborée de gestion des comptes utilisateurs

Le conseil peut sembler évident, mais les mots de passe par défaut doivent être immédiatement changés. Les serveurs « pots de miel » mis en place à des fins de test démontrent que ces mots de passe sont les premiers à être testés par les robots.

Les comptes de services, les bases de données, les applicatifs, les accès en mode console (PLC, passerelles, équipements réseau) doivent faire l’objet d’une attention particulière.

Les mots de passe en clair dans le code source des applications, dans les procédures d’exploitation et les données sauvegardées sont évidemment à proscrire.

Une gestion hygiénique des profils (cycle de vie des comptes utilisateurs, gestion des comptes à fort privilèges versus utilisateurs), des permissions d’accès aux fichiers (accès complet/lecture seule), des outils d’administration distante des systèmes, des politiques de gestion des médias amovibles

  • Identifier les comportements à risques des systèmes
  1. Désactivation des services / protocoles non sécurisés : TFTP, HTTP, Telnet, SNMP v1 ou v2,
  1. Modification en ligne des programmes automates autorisée sans contrôle ;
  1. Rechargement de la configuration au redémarrage via clé USB ou MMC17.
  1. Supervision, détection d’incidents ;
  1. Mise à jour (correctifs) des systèmes d’exploitation, des applications, des firmwares (pour les automates, capteurs/actionneurs intelligents…) ;
  1. Mécanisme de signature des firmware
  1. Mise en place de solutions de détection des signatures de virus et des événements de sécurité au sein des environnements industriels
  1. Technologies permettant de contrer les principaux vecteurs de menaces réseau sont l’usurpation de paquets (packet spoofing), les attaques par déni de service (DoS) ou encore le dépassement de tas (heap overflow) ou de pile (stack overflow)."
     

Florian Malecki,

Directeur Marketing Produit International chez Dell Network Security

Bienvenue !

Vous êtes désormais inscrits. Vous recevrez prochainement notre newsletter hebdomadaire Industrie & Technologies

Nous vous recommandons

Médailles de l'innovation 2019 : le CNRS récompense ses chercheurs-entrepreneurs

Médailles de l'innovation 2019 : le CNRS récompense ses chercheurs-entrepreneurs

En remettant ses médailles de l'innovation 2019, le Centre national de la recherche scientifique a mis en avant quatre chercheurs dont les[…]

Photovoltaïque européen, superalliages, smart-city… les meilleures innovations de la semaine

Photovoltaïque européen, superalliages, smart-city… les meilleures innovations de la semaine

Elle partage sa foi dans le code

Focus

Elle partage sa foi dans le code

Ce drone évite un ballon sans ralentir

Analyse

Ce drone évite un ballon sans ralentir

Plus d'articles