Nous suivre Industrie Techno

Keelback Net : la sonde d'Airbus contre les cyberattaques de réseaux industriels

Keelback Net : la sonde d'Airbus contre les cyberattaques de réseaux industriels

© Brnzwngs - Flickr - C.C.

La sonde Keelback Net développée par Airbus Defense and Space détecte et analyse en profondeur les cyberattaques sur les réseaux industriels. Son objectif : raccourcir le délai de détection des attaques les plus furtives pou assurer une défense efficace au regard des enjeux actuels de cybersécurité.

Les attaques furtives sur les réseaux d'informations des entreprises ne sont pas les plus grosses en volume, mais elles sont les plus "graves" et les plus ciblées. Appelées APT (pour Advanced Persistent Threat), ces attaques sont celles qui espionnent, voire sabotent, les systèmes industriels. Les APT ne se voient pas, ne se montrent pas, mais sont bien présentes sur les systèmes. Et c'est, la plupart du temps, lorsqu'il est trop tard pour agir que les entreprises s'en aperçoivent.

La sonde de détection d'APT d'Airbus Defense and Space s'inscrit dans le mouvement de renforcement des systèmes d'information des entreprises, recommandé par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) en 2013. Elle permet de détecter les cyberattaques les plus furtives dès les premières phases d'installation (premières semaines) sur le système d'information. La sonde est particulièrement destinée aux Opérateurs d'importance vitale (OIV), aux entreprises du CAC 40, aux grands donneurs d'ordres, aux institutions étatiques et un peu à la défense.
 

>>A LIRE L'Anssi érige les règles de la cybersécurité
 

Appelée Keelback Net, cette sonde dispose de trois fonctionnalités clés : la détection d'intrusion, l'analyse de paquets en profondeur (deep packet inspection) et la capture de trafic brut pour analyser les malwares qui transitent dans ce trafic et extraire les sections suspectes sur lesquelles on fait de l'analyse. Vincent Loriot, responsable produit Keelback à Airbus Defense and Space, commente : « Sur la base de ces trois moteurs, nous allons faire de la détection par signature classique et de la détection comportementale. La détection par signature va nous permettre de détecter les menaces connues et l'analyse comportementale d’identifier des comportements suspicieux pour détecter les nouvelles menaces. La combinaison des deux capacités au sein d’un même environnement nous permet d’assurer une détection optimale et affinée des attaques, ce qui est essentiel pour les qualifier et les traiter de la façon appropriée ».

Analyser sur des fenêtres de temps

Sur la base de l'analyse du trafic en profondeur, cela consiste à extraire les métadonnées du trafic, sur lesquels les ingénieurs calculent des comportements typiques d'usage du réseau, et mesurent les écarts par rapport à ce comportement. Ainsi, les écarts générent des alertes présentées aux experts de cybersécurité d'Airbus, qui analysent les raisons de cet écart et déterminent s'il s'agit d'un incident ou non. Tout cela a été rendu possible grâce à la combinaison d'outils d'analyse, qui vont de la détection instantanée, concernant des attaques peu discrètes ou ayant des modes opératoires bien connus, à la reconnaissance des attaques sophistiquées, c'est-à-dire qui passent au-dessous du radar de ce qu'il est possible de détecter. « Et pour cela, explique Vincent Loriot, nous travaillons sur des fenêtres de temps de plusieurs jours pour détecter les attaques les plus évasives ». L'objectif de Keelback Net étant de raccourcir le délai de détection des attaques les plus furtives afin d'assurer une défense efficace au regard des enjeux actuels de cybersécurité. Le lancement officiel s'est déroulé au Forum international de la cybersécurité (FIC 2015), à Lille.

Connaître les modes opératoires sans se faire repérer

Comment se déroule une attaque sur les systèmes ? « L'attaquant fait d'abord de la reconnaissance de système, explique l'expert d'Airbus. Puis, il déploit des logiciels malveillants pour compromettre le système et il diffuse ses outils et son environnement pour pouvoir ensuite passer à la phase d'exploitation. Entre chaque étape, l'attaquant se met en sommeil de manière à ne pas se faire repérer. Notre solution permet de détecter l'attaque dès ses premières phases alors qu'aujourd'hui quand elles sont détectées, c’est généralement durant la phase finale ».
 

>> A LIRE Cybersécurité : quelles technos pour protéger les systèmes industriels ?
 

La reconnaissance du système cible est technique. L'attaquant récupére des informations publiques sur les systèmes informatiques de l'entreprise. Il fait ce que l'on appelle des "scans de ports" pour voir quelles sont les failles existantes sur le système. Et ce, de manière la plus discrète possible pour ne pas se faire repérer. Ensuite, il couple cette reconnaissance à de "l'ingénierie sociale". Vincent Loriot explique : « l'attaquant va chercher qui travaille dans cette entreprise, croiser ces informations avec les réseaux sociaux utilisés par ces personnes à usage personnel ou professionnel. Ensuite, il y a plusieurs façons de s’introduire dans un système. Souvent, l’attaquant contacte des personnes ciblées en leur envoyant des messages infectés, des pièces jointes qui déclenchent un malware sur leur poste et créer l'installation d'un canal de commande sur le réseau ». Et une fois le canal mis en place, l'attaquant l'utilise pour s'installer dans le SI, notamment en répandant des points de contrôle sur différents endroits critiques du réseau. « Le plus souvent, l'attaquant installe des points de contrôle de nature différente de sorte que, si on cherche à faire une éradication trop brutale, on supprime un type de point de contrôle et non tous les points. Ainsi, il va pouvoir utiliser l'un de ces points de contrôle restants en tant que plan de repli pour se propager à nouveau. Il est donc important de pouvoir remonter le fil d’une attaque et disposer de moyens d’investigation pour assurer une éradication complète et non partielle ».

C'est pour cela que la phase de navigation est très importante dans la détection d'attaque furtive, pour connaître les modes opératoires des attaquants. De plus, la sonde d'Airbus va être complètement passive et transparente sur le réseau de manière à ce que l'attaquant ne puisse pas non plus détecter qu'il est sous surveillance. L'objectif est de ne pas montrer à l'attaquant que l'on sait détecter ses premières phases d'attaque.

Bienvenue !

Vous êtes désormais inscrits. Vous recevrez prochainement notre newsletter hebdomadaire Industrie & Technologies

Nous vous recommandons

Schneider Electric optimise la maintenance grâce à la réalité augmentée

Schneider Electric optimise la maintenance grâce à la réalité augmentée

Pour faciliter les opérations de maintenance des équipements industriels, Schneider Electric mise sur son logiciel EcoStruxure et la[…]

Alibaba dévoile Xuantie 910, une puce ultra performante basée sur une architecture open source

Alibaba dévoile Xuantie 910, une puce ultra performante basée sur une architecture open source

Puces neuromorphiques, modélisation 3D, deep learning… les meilleures innovations de la semaine

Puces neuromorphiques, modélisation 3D, deep learning… les meilleures innovations de la semaine

DeepCubeA, l'algorithme champion de Rubik’s Cube

DeepCubeA, l'algorithme champion de Rubik’s Cube

Plus d'articles