Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Réactions experts - malware "Industroyer" : nouveau scénario catastrophe pour les centrales électriques européennes ?

juin 2017 par Experts

ESET et Dragos Security viennent de communiquer sur un nouveau malware appelé « Industroyer » spécialement conçu pour s’attaquer aux infrastructures d’approvisionnement électriques. L’analyse de ce malware, déjà utilisé lors d’une cyberattaque contre le réseau de distribution d’énergie Ukrainien en décembre 2016, laisse envisager une nouvelle fois l’hypothèse d’un scénario catastrophe pour les infrastructures électriques européenne…

Plusieurs de nos experts vous proposent leur réaction sur ce malware conçu spécialement pour s’adapter à n’importe quel type de centrale :

Arnaud Cassagne, Directeur des Opérations de l’intégrateur et prestataire IT Newlode :

« Ce malware nous renvoie vers les craintes que nous avons eues à l’époque du ver Stuxnet. Mais la différence avec ce type de nouvelles attaques et quelles sont bien plus simples à développer, sans toutefois être simplistes… Les outils dont disposent les cybercriminels, leurs compétences qu’ils acquièrent beaucoup plus tôt, leurs accès aux sources d’équipements de sécurité leur permettent d’élaborer des attaques très difficiles à détecter. Malheureusement, il faudra en subir une ou plusieurs pour être en mesure de les endiguer. A ce jour, beaucoup d’entreprises ne sont pas en mesure de détecter ce type de malware. A l’inverse, seules les entreprises ayant mis en place des mécanismes de sécurité novateurs, basés sur de l’analyse comportementale par exemple, vont pouvoir détecter les axes les plus sophistiquées.

Le niveau de sécurité, encore bien trop faible de certaines infrastructures sensibles, est une source d’inquiétude aujourd’hui pour les professionnels. Une telle menace pourrait vraiment mener aujourd’hui à une « catastrophe »… Ces infrastructures, qui ne peuvent pas être arrêtées pour des opérations de maintenance pour la plupart, utilisent encore des composants antédiluviens, des systèmes d’exploitation désuets, et sont dépourvues de mécanisme de protection digne de ce nom.

Enfin, l’implication de certains pays dans ce type d’attaques est également très inquiétant. Certains états n’hésitent plus à mettre à disposition des moyens techniques, financiers ou bien encore humains pour mettre au point des cyberattaques d’ampleurs. La France s’est dotée d’un quatrième corps d’armées il y a quelques temps, et c’est surement mieux ainsi… »

Christophe Jolly, Directeur France de Vectra Networks : « Ce malware ressemble fortement au malware Black Energy qui a paralysé le réseau électrique Ukrainien en 2016. Ce type de malware est modulable - et donc capable de muter rapidement – ce qui implique une vraie difficulté pour tenir à jour les bases de signatures pour certains outils. Il utilise un command & control sur ToR et communique vers l’extérieur toutes les heures pour tenter d’échapper à la détection manuelle. La parade à ce type de comportement est désormais possible grâce à l’intelligence artificielle qui permet de surveiller les réseaux en 24/7, 365 jours par an et ainsi de détecter les command & control cachés dans le trafic ToR.

« Industroyers » semble être dirigé par des cybercriminels de très haut niveau, et à ce stade il est évidemment difficile de l’attribuer à un groupe en particulier même si des hypothèses peuvent déjà se détacher. Le malware a pour objectif d’accéder aux systèmes de contrôle industriels (ICS) et tire donc parti de leurs protocoles de contrôle encore peu sécurisés. Pour parvenir à accéder à ses réseaux ICS via Internet, ou plus sûrement au réseau principal de l’entreprise, les attaquants procèdent généralement à des phases de reconnaissance et à des déplacements latéraux sur le réseau qui leur permet également de les cartographier. C’est à l’occasion de ces phases de reconnaissance et de déplacements qui font parties du processus de développement du malware, que les opportunités de détection sont les plus nombreuses. En effet, une telle menace est susceptible de faire des dégâts considérables voire d’engendrer de vraies catastrophes, mais elle demeure toutefois relativement lente pour arriver à ses fins après l’infection initiale ».

Csaba Krasznay, Evangéliste sécurité chez Balabit : « Nous entendons souvent que les systèmes de contrôle industriels sont bien protégés car ce sont des systèmes très spécifiques, opérant dans des environnements fermés et étanches. Il est probable que les attaquants derrière le malware Industoyers soient parrainés par un Etat et qu’ils aient donc d’importants moyens. Mais aujourd’hui, les SCADA n’en demeurent pas moins trop peu sécurisés alors que les malwares ciblant les SCADA – plus ou moins dangereux - se multiplient. L’Union Européenne a pris conscience de cette menace et a présenté sa directive NIS, mais son introduction en 2018 et les 5 à 10 années suivantes de mise en œuvre pourraient être trop longues pour traiter ces menaces. Des nouvelles technologies de type analyse comportementale, devraient/pourraient être introduites rapidement dans les infrastructures industrielles pour aider à détecter ces menaces ».




Voir les articles précédents

    

Voir les articles suivants