Nous suivre Industrie Techno

Cybersécurité : un outil capable de détecter les vulnérabilités au cœur du code des robots industriels

Kevin Poireault
Soyez le premier à réagir

Soyez le premier à réagir

Cybersécurité : un outil capable de détecter les vulnérabilités au cœur du code des robots industriels

© Kuka

Face à la vulnérabilité toujours plus grande des réseaux industriels aux cyberattaques, l’éditeur japonais de solutions de cybersécurité a décidé de s'attaquer au mal à la racine : la programmation des robots et automates industriels. Trend Micro a développé un outil d’audit de code adapté aux langages de programmation utilisés dans l’industrie.

Avec le covid-19, les cyberattaques ont augmenté. Selon un rapport du 26 août mené par le spécialiste japonais de la cybersécurité, Trend Micro, les arnaques au président ont grimpé de 19% au premier semestre 2020 par rapport au précédent. Quant aux ransomwares (rançongiciels), ils se sont multipliés avec 45% de nouvelles familles en plus – sans passer davantage à l’acte, le japonais enregistrant une baisse des attaques liées à ce type de logiciels malveillants. « En seulement six mois, Trend Micro a bloqué 8,8 millions de menaces liées au covid-19 », note le rapport.

S’ils n’ont pas connu le même sort, les systèmes industriels continuent, eux, d’être de plus en plus exposés aux attaques : Trend Micro a comptabilisé une hausse de 16% des vulnérabilités les concernant au premier semestre 2020, par rapport à la même période l’année dernière. Un constat récurrent depuis les cinq dernières années, qui a décidé Trend Micro à développer, avec le Politecnico di Milano, un outil pour détecter les codes vulnérables ou malveillants dans les systèmes robotisés industriels. De quoi aider les roboticiens à mettre sur le marché des robots plus sûrs.

Aucune politique de droits d’accès dans les robots industriels

Annoncé par le japonais au début du mois d’août, lors de Black Hat USA, l’une des plus grandes conférences en cybersécurité, cet outil doit permettre d’améliorer une des deux grandes faiblesses identifiées par la firme : les failles de conception des robots industriels. « Les robots n'ont pas été conçus pour que leur code mette en place de la sécurité, indique Renaud Bidou, directeur technique Europe du Sud chez Trend Micro. Comme le web il y a quelques années, avant l'arrivée des URL en https, par exemple, avec les chiffrements SSL ou TLS. »


La principale erreur « réside dans l’architecture globale du robot », poursuit-il : quand les systèmes d’exploitation fonctionnent généralement en couche (un noyau, une interface utilisateur…) avec des droits de privilèges uniques pour chaque utilisateur, « les robots industriels – ou les systèmes de conduite automatisés, d’ailleurs - sont conçus pour que tout le monde ait tous les droits d’accès à tout ». Ils sont donc bien plus exposés aux infections par des logiciels malveillants.

Un outil d’analyse statique de code taillé pour l’industrie

« Pour les systèmes existants, malheureusement on ne peut pas faire grand-chose, déplore Renaud Bidou. Pour les nouveaux appareils, la seule solution est de sécuriser le code. » C’est la raison pour laquelle Trend Micro développe un outil d’analyse statique de code pour effectuer un audit avant de commercialiser le système robotisé. « Vous prenez votre code, sur un PC au départ, pour le passer dans l’outil, qui va vous dire que telle partie du code n’est pas sécurisée ou qu’ici il n’y a pas de contrôle des droits d’accès. Parfois, les codes qu’on trouve dans les robots sont publics, open source, ce qui est toujours une grosse source de vulnérabilité. Notre outil est capable de dire que tel morceau de code est lui-même déjà connu pour telle vulnérabilité. »

L’innovation n’est pas tant dans la nature de l’outil, ajoute le directeur technique, mais dans sa capacité à appliquer la technique d’analyse statique de code sur des langages de programmations très spécifiques : « L’informatique classique ne compte qu’une une dizaine de langages importants (C, C++, Java, JavaScript...) et ils sont compatibles avec l'ensemble des environnements (Windows, Linux, Mac, Android...). Dans le milieu de la robotique industrielle, chaque fabricant a ses propres langages - assez peu documentés à l'extérieur, donc il faut tout ré-apprendre quand on passe de l'un à l'autre. »

Si un brevet est en cours, le mode de commercialisation de ce futur outil reste à déterminer – « comme nous le développons avec le Politecnico di Milano, il n'est pas impossible qu'il y ait une version open source », suppose le spécialiste. La prochaine étape ? « Développer des outils similaires, mais qui fonctionnent en temps réel, espère Renaud Bidou. Cela existe déjà pour l’informatique classique avec les Runtime Application Self-Protection (RASP), mais pas encore pour les systèmes robotisés. »

L’IoT gateway, l’autre maillon faible des réseaux industriels

L'autre faiblesse des systèmes robotisés industriels vient des passerelles protocolaires (appelées aussi IoT gateways), qui permettent de connecter à internet - en TCP/IP - des machines fonctionnant en réseau fermé et communiquant avec des langages bien spécifiques (Modbus, Profibus, Profinet...), « conçus sans aucune considération de sécurité informatique », rappelle Renaud Bidou, directeur technique Europe du Sud chez Trend Micro. Pour minimiser ces vulnérabilités, ce dernier préconise d'installer des sondes industrielles, des pare-feu industriels et des système de prévention d'intrusion (IPS).

Bienvenue !

Vous êtes désormais inscrits. Vous recevrez prochainement notre newsletter hebdomadaire Industrie & Technologies

Nous vous recommandons

La réalité virtuelle immersive, un outil industriel qui se démocratise grâce au jeu vidéo Fortnite

La réalité virtuelle immersive, un outil industriel qui se démocratise grâce au jeu vidéo Fortnite

Pour bien commencer la semaine, replongeons-nous au cœur de la « grotte » de réalité virtuelle du Technocampus Smart[…]

SkyReal, le spin-off d’Airbus qui immerge les industriels dans la réalité virtuelle grâce à Fortnite

SkyReal, le spin-off d’Airbus qui immerge les industriels dans la réalité virtuelle grâce à Fortnite

Big data : face aux industriels américains et chinois, "l'UE doit sortir de la seule logique juridique", clame Charles Thibout (IRIS)

Big data : face aux industriels américains et chinois, "l'UE doit sortir de la seule logique juridique", clame Charles Thibout (IRIS)

Le concours de start-up de Siemens et Atos se rapproche des industriels

Le concours de start-up de Siemens et Atos se rapproche des industriels

Plus d'articles