Nous suivre Industrie Techno

Avis d'expert

Le piratage de fichiers ICS, une attaque de plus en plus courante au sein des systèmes industriels

La Rédaction d'Industrie et Technologies

Sujets relatifs :

,
Soyez le premier à réagir

Soyez le premier à réagir

Le piratage de fichiers ICS, une attaque de plus en plus courante au sein des systèmes industriels

© Claroty

Les fichiers de supervision (ICS) sont un composant essentiel des systèmes de contrôle industriel. Ils contiennent toutes les informations sauvegardées par les logiciels d’ingénierie industrielle et fournissent toutes les données et instructions nécessaires au fonctionnement des machines d’un réseau industriel (OT). Ils représentent aussi la possibilité, pour les cybercriminels, d’infiltrer le réseau incognito et de modifier le mode de fonctionnement de machines aux activités potentiellement sensibles. Nadav Erez, Responsable de l’équipe de recherches du spécialiste de cybersécurité industrielle Claroty, détaille pour I&T cette problématique clé.

Par Nadav Erez, Responsable de l’équipe de recherches de Claroty

Dans l’industrie, les fichiers de supervision de la production, (industrial control system files, ou fichiers ICS) sont monnaie courante. Parvenir à les corrompre est donc un Graal pour les cybercriminels qui veulent infecter l’ensemble d’un outil de production.

Un fichier de projet ICS est composé de différents fichiers contenant tout un ensemble de données nécessaires à la réalisation d’un projet enregistré, telles que des informations sur les différents actifs en place ou sur le système de contrôle interne. Ils renferment généralement des informations sensibles : au niveau supérieur se trouve la cartographie du réseau, avec des informations sur les ressources présentes. Il peut s’agir d’un réseau Profibus, par exemple, c’est-à-dire d’un système de communication numérique standardisé et ouvert, utilisé dans l’automatisation de la fabrication, ainsi que de toutes les stations qui y sont connectées.

Le fichier de projet doit par ailleurs détailler chaque ressource individuelle du réseau. Par exemple, l’adresse IP et le numéro de série des appareils, de même que des données sur la localisation de chaque appareil et leur usage, y compris des détails sur les modules et leurs numéros d’ordre.

Il existe toutes sortes de fichiers de projet ICS. Les plus simples se présentent sous forme de fichiers texte, comme des documents Excel contenant des informations sur la ressource (adresse IP, numéro de modèle, version de l’application exécutée, etc.). De nombreux éditeurs de logiciels ICS utilisent toutefois des fichiers de projet dans un format binaire propriétaire. La récupération de leurs informations s’effectue via un logiciel spécialisé, voire par rétro-ingénierie.

Les fichiers de projet peuvent aussi se présenter sous forme de répertoires, avec des sous-répertoires contenant différents types de fichiers. Dans ce cas, le problème n’est pas simplement de pouvoir lire le fichier, mais déjà de le localiser. Plus facile à dire qu’à faire quand on sait que ces répertoires sont susceptibles d’héberger des milliers de fichiers. D’autant que, si la plupart de ces répertoires sont stockés dans des fichiers .zip, certains sont encore au format .cab, depuis longtemps remplacé par le format .zip. Il faut donc trouver le bon script pour ouvrir le fichier.

Les fichiers ICS sont utiles pour les équipes sécurité… mais aussi pour les attaquants

Pour comprendre la cartographie de leur réseau OT, les équipes de sécurité peuvent capturer le trafic qui y transite et bâtir une topographie à partir de ces informations. Cette opération demande cependant beaucoup de temps et d’efforts. En revanche, si elles parviennent à extraire et à lire les fichiers de projet accessibles sur les serveurs des ingénieurs, elles obtiendront plus rapidement une vue complète du réseau, des éléments qui s’y exécutent, etc.

En comparant la carte créée par le fichier de projet à ce qui se passe réellement sur le réseau, l’équipe de sécurité peut détecter toute activité suspecte, comme la connexion de nouveaux appareils.

Les fichiers de projet offrent également une vision claire du rôle joué par chaque ressource. En cas d’événement inattendu, l’équipe de sécurité peut identifier la cause première du problème et réinitialiser les machines concernées. Un inventaire détaillé de tous les appareils et de ce sur quoi ils fonctionnent lui permet en outre d’évaluer leur niveau de sécurité. Grâce à ces informations, elle est en mesure de repérer les vulnérabilités et de déterminer où des mises à jour et des correctifs sont nécessaires.

Pour atteindre ces objectifs, les équipes de sécurité ont besoin d’une solution capable d’extraire et d’analyser toutes les données pertinentes dans un format facilement accessible et compréhensible.

Avoir une vue panoptique sur les actifs de l’usine

Si un cybercriminel réussit à infiltrer un réseau OT, il peut utiliser tous les fichiers de projet trouvés pour savoir quelles machines sont connectées au réseau et leur fonction. Ces informations l’aident à cibler précisément les ressources qui causeront le plus de perturbations en cas de compromission.

Les fichiers de projet eux-mêmes comportent d’importantes vulnérabilités exploitables par les cybercriminels dans le cadre de leurs attaques. Par exemple, comme nous l’avons vu, ils sont souvent zippés, en particulier lorsqu’ils doivent être transférés d’un système à un autre. La vulnérabilité « Zip Slip » permet aux attaquants de modifier les chemins dans un fichier .zip de telle manière qu’une fois décompressé, les fichiers qu’il contient soient téléchargés vers un emplacement différent de celui du fichier cible. Autrement dit, l’attaquant peut écrire des fichiers à n’importe quel endroit du réseau sur lequel le fichier est extrait. Il lui est ainsi possible de prendre le contrôle d’un ordinateur, notamment en remplaçant un programme dans le répertoire de démarrage.

De nombreux types de fichiers de projet reposent sur des fichiers binaires vulnérables, car créés à partir de code datant généralement de plusieurs années. Ils ont souvent été écrits à une époque où les programmeurs ignoraient comment protéger leur code, et n’ont sans doute pas été corrigés depuis. Véritable problème pour leurs propriétaires, les vulnérabilités des formats binaires continuent à être régulièrement publiées.

L’objectif ultime : l’arrêt de production

Un cybercriminel peut s’attaquer à un réseau OT en téléchargeant un fichier DLL (Dynamic Link Library), lequel contient des instructions utilisées par d’autres programmes pour exécuter des tâches spécifiques.

À cette fin, il devra tout d’abord créer ou cloner un fichier de projet présentant une vulnérabilité, par exemple une instruction d’importation d’un fichier depuis un emplacement donné au démarrage du projet. Il modifiera ensuite le code de sorte que le fichier importé comprenne une DLL malveillante chargée d’effectuer une tâche spécifique, telle que la mise hors tension du système.

Le fichier sera joint à un e-mail de hameçonnage (phishing) envoyé à un ingénieur afin de l’inciter à l’ouvrir. Pour plus de crédibilité, le cybercriminel choisira probablement un format de fichier convivial connu de l’ingénieur et lisible via un logiciel ICS. Il aura donc plus de chances de résister à un examen minutieux que, par exemple, un fichier .doc, et éveillera davantage la curiosité de l’ingénieur. L’avantage est que ce dernier ouvrira le fichier sur un ordinateur équipé d’un logiciel d’ingénierie et très certainement connecté au réseau OT. S’il s’agissait d’un simple fichier .doc, l’ingénieur pourrait l’ouvrir sur son ordinateur personnel, ce qui empêcherait le cybercriminel de poursuivre son attaque.

Les forums d’assistance spécialisés constituent un autre moyen pour les cybercriminels d’amener les ingénieurs à ouvrir des fichiers de projet malveillants. Il leur suffit pour cela d’envoyer un message simple indiquant qu’ils ont besoin d’aide, car ils n’arrivent pas à ouvrir un fichier de projet et ne disposent pas du logiciel nécessaire à son extraction. Pensant aider un homologue, certains ingénieurs téléchargeront le fichier et le convertiront pour lui. Il s’agira bien entendu d’un fichier malveillant. Dès son ouverture, la machine de l’ingénieur exécutera les fonctions spécifiées dans le code.

L’arrêt total de l’activité et son rétablissement en échange d’une rançon figurent parmi les motifs de ces attaques, mais le plus probable reste le sabotage. Les attaques contre les réseaux OT ciblent généralement les infrastructures nationales critiques et les industries indispensables à l’économie des États-nations, l’objectif étant de causer autant de perturbations que possible. L’un des cas les plus connus est celui des attaques de 2015 et 2016 contre le secteur de l’énergie ukrainien, qui ont laissé des milliers d’habitants sans électricité pendant plusieurs heures.

Comment s’en protéger ?

Pour prévenir le téléchargement de fichiers de projet malveillants sur le réseau, les entreprises ont tout intérêt à déployer une solution robuste de protection des terminaux et de sécurité de la messagerie électronique afin de bloquer les e-mails de phishing envoyés aux ingénieurs et de limiter les éléments que ces derniers sont autorisés à télécharger sur le réseau OT. Cela évitera d’emblée à une grande majorité de ces fichiers d’infecter le système.

Malgré ces mesures, il existe toujours une possibilité qu’un fichier malveillant s’introduise dans le réseau. C’est pourquoi les équipes de sécurité ont besoin de visibilité sur tous les fichiers de projet présents sur le réseau OT, quel que soit leur format, et de savoir à quoi ils ressemblent normalement. De plus, elles doivent être à même de surveiller le trafic réseau afin de déceler les comportements anormaux symptomatiques du piratage potentiel d’un fichier de projet. Cette surveillance doit par ailleurs inclure l’examen de toutes les interactions entre les réseaux IT et OT de manière à identifier chaque fichier déplacé de l’un à l’autre, opération qui représente un risque pour la sécurité.

Sachant qu’un réseau OT moyen compte plusieurs milliers de fichiers de projet, il est impossible de réaliser cette tâche manuellement. D’où la nécessité de solutions automatisées, capables d’effectuer cette surveillance et d’alerter l’équipe de sécurité sur tous les événements suspects.

Les fichiers de projet sont une composante essentielle de tout réseau OT, mais aussi l’une des plus vulnérables. Une bonne connaissance de leur fonctionnement et de leurs risques inhérents aide les équipes de sécurité à prendre des mesures appropriées pour s’assurer qu’ils profitent moins aux cybercriminels qu’aux ingénieurs.

Bienvenue !

Vous êtes désormais inscrits. Vous recevrez prochainement notre newsletter hebdomadaire Industrie & Technologies

Nous vous recommandons

Que sait-on de la cyberattaque au ransomware du géant français Sopra Steria ?

Que sait-on de la cyberattaque au ransomware du géant français Sopra Steria ?

Depuis quelques jours, Sopra Steria, sixième ESN de France et membre fondateur du futur Campus cyber, est victime d’une attaque au[…]

26/10/2020 | CybersécuritéBig Data
Wallix renforce sa présence en région et s’attaque à la cybersécurité industrielle et à l'IoT

Wallix renforce sa présence en région et s’attaque à la cybersécurité industrielle et à l'IoT

« A La Défense, le Campus cyber accueillera 60 sociétés dès septembre 2021 », annonce Michel Van Den Berghe

« A La Défense, le Campus cyber accueillera 60 sociétés dès septembre 2021 », annonce Michel Van Den Berghe

Rapport Kapersky sur les cyberattaques industrielles : moins nombreuses mais plus sophistiquées

Exclusif

Rapport Kapersky sur les cyberattaques industrielles : moins nombreuses mais plus sophistiquées

Plus d'articles