Veille technologique

pour les professionnels de l’industrie
S’abonner

S’inscrire à l’hebdo de la techno :

Rechercher sur Industrie & Technologies

Facebook Twitter Google + Linkedin Email
×

Cybersécurité : ces attaques qui visent les systèmes industriels

| | | |

Publié le à 17h53

Cybersécurité : ces attaques qui visent les systèmes industriels

Dans un nouveau rapport, la société de cybersécurité FireEye affirme que le développement du logiciel malveillant Triton ICS a été soutenu par une institution de recherche technique appartenant au gouvernement russe, le Central Scientific Research Institute of Chemistry and Mechanics de Moscou. D'autres organisations pourraient être également impliquées. Dans une tribune, Thomas Roccia, chercheur en sécurité au McAfee Lab revient sur les attaques qui ciblent l'industrie.

 

La cybercriminalité ne cesse d’évoluer et d’apporter son lot de challenge. Tous les secteurs de l’économie mondiale sont concernés, et le secteur industriel n’y échappe pas. Le digital est aujourd’hui une opportunité qui permet une productivité plus accrue mais implique également des risques inimaginables 20 ans plus tôt, lors de l’élaboration de ces systèmes industriels. Mais avec l’omniprésence du digital dans nos entreprises, il devient de plus en plus complexe de sécuriser nos environnements. Les attaques qui ciblent les systèmes industriels ne sont pas nouvelles. En 2010, Stuxnet un des premiers malwares industriels complexes, défrayait la chronique. Stuxnet ciblait les centrales iraniennes dans le but d’interférer avec les centrifugeuses et empêcher l’Iran d’accéder au nucléaire. En 2015, le réseau électrique ukrainien a été ciblé par le malware BlackEnergy coupant l’électricité pour 230 000 foyers pendant plus de 6 heures. L’Ukraine a encore une fois été ciblé en 2016 avec le malware Industroyer, provoquant un deuxième arrêt du système de distribution électrique. En 2017, ce sont des usines pétrochimiques du Moyen-Orient qui ont été la cible du malware Triton, spécialement créé pour impacter les systèmes industriels et plus particulièrement les systèmes de sureté (Safety Industrial System).

Les systèmes industriels représentent des cibles stratégiques pour les attaquants, leur permettant d’influer sur la stabilité d’un pays ou de manipuler des décisions politiques. Dans ce secteur, où la concurrence est parfois rude et les secrets monnaie courante, il n’est pas rare de voir des attaques ciblées sponsorisées par des états. Les logiciels malveillants ciblant les systèmes industriels représentent une des pires menaces. Ils suppriment les frontières entre les dégâts numériques et humains.

TRITON : Une nouvelle génération d’attaque

Triton représente un nouveau tournant dans l’industrie de la sécurité mais aussi pour les industriels. En effet, la sophistication de l’attaque indique que les attaquants ont potentiellement étudié les systèmes cibles durant plusieurs mois bénéficiant d’un budget non négligeable. Triton ciblait les systèmes de sûreté (SIS), Controlleur Triconex conçu par Schneider Electric. Ces systèmes sont spécifiquement conçus pour protéger les vies humaines présentes sur les sites d’exploitation. Après avoir obtenu un accès distant sur le réseau, les attaquants se sont déplacés jusqu’à atteindre les équipements SIS et en prendre le contrôle. Le malware Triton, qui s’apparente à un framework d’attaque, a permis l’injection de shellcode PowerPC (architecture du contrôleur) directement dans la mémoire du Triconex. Un shellcode étant un morceau de code interprété par le processeur.

Pour pouvoir communiquer et interagir avec les contrôleurs Triconex, les attaquants ont ré-implémenté le protocole propriétaire de communication utilisé pour l’administration de ces équipements. La compromission des contrôleurs SIS est composée de trois étapes. La première étant la vérification des systèmes cibles pour le bon déroulé de l’attaque. La seconde étant l’utilisation d’un injecteur permettant l’exécution de la troisième étape qui est l’installation d’une porte dérobée. La porte dérobée permettait un accès en lecture, écriture et exécution sur les contrôleurs. Cette fois-ci, l'attaque n'a pas abouti. Les investigations ont révélé qu’une potentielle charge utile manquait, l'étape finale de l'attaque. Dans le cas contraire, les conséquences auraient été désastreuses.

Des dommages potentiels conséquents

Triton est une attaque sans précédent dans la mesure où elle aurait pu être la première à entraîner des pertes humaines. Les systèmes Triconex ciblés par Triton sont utilisés dans près de 18 000 sites industriels (centrales nucléaires, raffineries de pétrole et de gaz, usines chimiques…). Les malwares ciblant les systèmes industriels deviennent plus agressifs et sophistiqués que jamais. Face à eux, des dispositifs industriels datant de l'époque où les cyberattaques comme celle de Triton étaient inimaginables. Les systèmes industriels sont aujourd’hui exposés à des environnements hyper connectés pour lesquels ils n'ont pas été conçus.

La réalité rattrape la fiction. Les menaces spécialement créées pour infecter les dispositifs industriels ne sont pas les seuls risques auxquelles les industriels sont exposés. Les logiciels malveillants plus ‘classiques’ peuvent également impacter les processus industriels. L'année dernière, WannaCry a contraint plusieurs entreprises à arrêter leur production, touchant aussi bien les industriels de la santé que de l'automobile. Quelques mois plus tard, NotPetya frappait et impactait une centrale nucléaire, un réseau électrique ainsi qu’un système de santé. Et cette année, un cryptominer a touché des usines de service d'eau en Europe.

Sur le même sujet > Wannacry, NotPetya, Industroyer... et après ?

Les recommandations de sécurité (mise en place de correctifs de vulnérabilité, création de mots de passe complexes, politique de contrôle d'identification, solutions de sécurité, etc.) restent les mêmes que pour une entreprise standard. Toutefois, la protection des systèmes industriels doit être considérée comme primordiale et des procédures spécifiques doivent être appliquées pour pallier les risques liés à l’obsolescence des systèmes. Une isolation du réseau industriel est une étape indispensable afin d’assurer l’intégrité du système. Chaque machine connectée aux processus industriels doit alors être surveillée de près en utilisant un contrôle d'accès strict et une liste blanche des applications.

Enfin, le dialogue et le travail doivent être faits par l’ensemble des parties prenantes, y compris les fabricants, les exploitants d'installations, les gouvernements et les acteurs de la cybersécurité. Comme l’a récemment souligné Guillaume Poupard, Président de l’ANSSI, une collaboration à l’échelle mondiale est la seule réponse contre les attaques industrielles ciblées.

Thomas Roccia, chercheur en sécurité au McAfee Lab

Abonnez-vous et accédez à l’intégralité de la veille technologique

Commentaires

Réagissez à cet article

* Informations obligatoires

erreur

erreur

erreur