Actu
Loïc Guézo, Trend Micro : Les systèmes SCADA sous les feux des pirates
novembre 2014 par Marc Jacob
Pour Loïc Guézo, Evangéliste Sécurité de l’Information pour l’Europe du Sud de Trend Micro, les systèmes SCADA sont de plus en plus sous la menace des pirates informatiques. En effet, ils sont d’autant plus vulnérables du fait de leurs interconnexions avec les réseaux internes de l’entreprise mais aussi avec l’Internet. Loïc Guezo estime en outre qu’avec l’avènement des objets connectés cette question va devenir au centre des préoccupations de la vie quotidienne de nos sociétés modernes. En guise de boutade, il conseille aux industriels d’appliquer les fameuses lois de la robotique énoncées par Isaac Azimov dans sa saga sur les robots.
GS Mag : Quelles sont les principales vulnérabilités des systèmes industriels SCADA ?
Loïc Guézo : Ces systèmes sont arrivés sous le feu de l’actualité en 2010 avec STUXNET qui a montré que le concept de sécurité par "air gap" était obsolète. On pensait alors que ces systèmes restaient isolés des réseaux d’entreprises et de l’Internet et que les technologies utilisées (automates, systèmes propriétaires, …) les protégeaient des attaques. Or aujourd’hui, le bilan montre que ces systèmes sont de plus en plus interconnectés (y compris, pour certains, avec Internet) et architecturés avec des composants "classiques" (comme des serveurs ou des PC avec des OS Microsoft), non seulement au niveau SCADA, mais aussi au plus près des processus industriels.
Ces systèmes sont donc vulnérables aux attaques traditionnelles, dans un environnement d’exploitation :
– qui n’est pas au niveau de l’informatique traditionnelle (patch management ou password management, par exemple)
– avec des contraintes différentes (DMIA très faible voire nulle, sauf à avoir des conséquences financières ou environnementales lourdes, la disponibilité du système étant essentielle)
– des composants en production dont le niveau de sécurité intrinsèque reste faible (mot de passe en dur dans les automates, communications en clair ou protocoles)
GS Mag : Quelles sont les menaces qui pèsent actuellement sur ces systèmes ?
Loïc Guézo : Trend Micro a mené une étude à l’échelle mondiale, consistant à créer 3 Honeypots ICS pour « capturer » les tentatives de cyber-attaques (plus de détails sur cette étude ici). Les attaques menées ont montré l’étendue du risque : attaques de surface, bureautiques, sur le système industriel et combinées en attaques ciblées ! Sur 28 jours de capture, 39 attaques du système ont été identifiées, ayant comme principales sources les territoires américain, chinois et laotien.
GS Mag : Quels sont les scénarios généralement utilisés par les pirates pour en prendre le contrôle ?
Loïc Guézo : Si on exclut les systèmes directement connectés à Internet et vulnérables à un instant T, les campagnes d’attaques connues ont souvent recouru à un passage par un tiers (système IT interne, puis rebond vers le réseau industriel), voire compromission d’un sous-traitant ou d’un fournisseur (cf. attaque DragonFly/campagne HAVEX : plus d’infos ici).
GS Mag : Qu’est-ce qui a fait, selon vous, la réussite de Stuxnet ? Ce type de scénario pourrait-il se reproduire aujourd’hui ?
Loïc Guézo : La réussite technique est liée à une première compromission humaine et l’insertion d’une clé USD dans un réseau isolé… permettant ainsi aux efforts sur le volet logiciel de porter leurs fruits : grande furtivité (et donc durée de vie de l’intrusion avant détection) permettant une modification de la vitesse de rotation des centrifugeuses, altérant ainsi le rendement du processus d’enrichissement…. L’objectif étant finalement la modification de la valeur d’un registre vers un variateur de fréquence, contrôlant le moteur… Il n’y a aucune raison que ce type de scénario ne se reproduise pas. Sans oublier que, à des fins de destruction, on peut imaginer des actions très efficaces (réseau électrique, distribution d’eau, nucléaire, transports, …) qui ne s’embêteraient pas de cette grande furtivité de Stuxnet.
GS Mag : Quels sont les risques des systèmes fonctionnant encore sous Windows XP ?
Loïc Guézo : Ce système est encore très présent. En France, on estime entre 15 et 20% le nombre de systèmes fonctionnant encore sous cet OS. Par arrêt du support, les utilisateurs ne seront pas alimentés en patch de sécurité de Microsoft lors de la découverte de nouvelles vulnérabilités. Avec toutes les conséquences que cela peut avoir, pour un parc de POS ou de DAB par exemple…
GS Mag : A quoi devons-nous nous attendre dans les mois à venir ?
Loïc Guézo : Avec la croissance exponentielle de l’IoT, cette omniprésence des objets intelligents industriels, va devenir une question centrale de la vie quotidienne de nos sociétés modernes.
Avec l’aide d’Interpol et l’ISCPA, nous avons travaillé sur des scénarios de notre future vie quotidienne en 2020 : je vous invite à les découvrir sur le site www.2020.trendmicro.com.
A noter également, les écrits d’Isaac ASIMOV dans les "Lois de la robotique" : avant de demander un service à votre assistant personnel ou de prendre le volant de votre prochaine voiture connectée, ne pas oublier :
Un robot ne peut porter atteinte à un être humain, ni, restant passif, permettre qu’un être humain soit exposé au danger.
Un robot doit obéir aux ordres que lui donne un être humain, sauf si de tels ordres entrent en conflit avec la Première loi.
Un robot doit protéger son existence tant que cette protection n’entre pas en conflit avec la Première ou la Deuxième loi.
Mais aussi la loi zéro, introduite après coup, mais dont la portée bien plus universelle et lourde de conséquence, reste malheureusement un vœu pieux …
Un robot ne peut pas faire de mal à l’humanité, ni, par son inaction, permettre que l’humanité soit blessée.
