Global Security Mag : Quelles sont les principales vulnérabilités des systèmes industriels SCADA ?

Yogi Chandiramani : Les principales vulnérabilités des systèmes industriels SCADA proviennent d’une prise en compte incomplète de la sécurité souvent due à une méconnaissance de ces environnements et à un certain nombre d’idées reçues. La première est que les systèmes SCADA sont isolés et ne sont pas connectés à d’autres réseaux. Deuxième idée reçue : les systèmes SCADA utilisent une plateforme ou contrôleur spécifique et donc ne peuvent pas subir d’attaque extérieure. Finalement la dernière idée reçue est que les fonctionnalités limitées de l’interface homme-machine des systèmes SCADA forment un terrain peu propice à l’exécution d’une cyber-attaque. La réalité est toute différente puisque 100% des systèmes SCADA sont connectés à internet ou au réseau d’entreprise et 99.9% des systèmes SCADA peuvent être contrôlés à distance suite à une attaque de type Metasploit.

Global Security Mag : Quelles sont les menaces qui pèsent actuellement sur ces systèmes ?

Yogi Chandiramani : Les priorités de mise en œuvre de la sécurité pour les systèmes SCADA se déclinent de la façon suivante : Disponibilité, Intégrité et Confidentialité. Alors que les priorités de la sécurité informatique moderne se déclinent dans l’ordre inverse : Confidentialité, Intégrité et Disponibilité. Cette différence notoire dans la gestion des priorités a des répercussions importantes sur la sécurisation des systèmes SCADA.
Tout d’abord, la première menace sur les systèmes SCADA est qu’ils utilisent des systèmes d’exploitation obsolètes, soit non-supportés (Windows XP), soit non-patchés, sous prétexte de disponibilité de l’application métier. Cela a pour conséquence de laisser la porte grande ouverte aux attaquants, qui vont pouvoir exploiter les vulnérabilités bien connues sur ces anciens systèmes.
Ensuite, les protocoles Modbus et DNP3 utilisés par les systèmes SCADA ne supportent pas l’authentification et le chiffrement ce qui ne permet pas d’offrir de contrôle de sécurité applicatif.
Finalement, une autre menace non-négligeable provient de la configuration incorrecte des équipements de sécurité (pare-feux, proxy, …) due à une mauvaise compréhension de la sécurisation des systèmes SCADA.

Global Security Mag : Quels sont les scénarios généralement utilisés par les pirates pour en prendre le contrôle ?

Yogi Chandiramani : Les cyber-criminels utilisent la méthode dite du « rebond » pour prendre le contrôle de système SCADA à distance. Le schéma suivant présente les différentes méthodes les plus fréquemment utilisées :
• Accès distants non sécurisé
• Poste de travail entreprise infecté
• Point d’accès WIFI non sécurisé
• Infection par clé USB

Global Security Mag : Qu’est-ce qui a fait, selon vous, la réussite de Stuxnet ? Ce type de scénario pourrait-il se reproduire aujourd’hui ?

Yogi Chandiramani : L’attaque Stuxnet a été perpétrée par le biais des machines de contrôles des centrales nucléaires, et plus précisément des réacteurs. L’infection s’est fait par insertion de clé USB, le ver se propageant de PC en PC à travers le réseau, à la recherche d’un PC disposant du logiciel Step7 de Siemens. Alors, l’attaque étant ciblée, il examinait le type d’équipement industriel connecté (réacteur de centrale nucléaire).
Ce type de scénario pourrait parfaitement se reproduire aujourd’hui, d’ailleurs, le ver Stuxnet a d’ailleurs perduré pendant un certain temps dans des environnements divers. Ceci simplement parce que les machines de contrôle d’équipements industriels ne sont pas parfaitement isolées (périphérique amovibles, réseau, Internet) et parce que de part leur fonction (support de logiciels industriels) ces machines ne peuvent pas facilement être mises à jour en terme de système d’exploitation et d’applications. De plus elles ne disposent parfois d’aucune protection résidente.

Global Security Mag : Quels sont les risques des systèmes fonctionnant encore sous Windows XP ?

Yogi Chandiramani : Microsoft a décidé d’arrêter le support de Windows XP en Avril dernier. Cependant de nombreux systèmes SCADA fonctionnent encore sous ce système d’exploitation. Des vulnérabilités « zero day » sont encore découvertes permettant de prendre le contrôle à distance du poste. Ainsi, début Mai 2014, FireEye a découvert une vulnérabilité ciblant Internet Explorer versions 8 à 11 utilisé dans l’opération « Clandestine Fox ». Ainsi, on peut prévoir de nouvelles attaques utilisant des vulnérabilités non encore connues sous Windows XP.

Global Security Mag : A quoi devons-nous nous attendre dans les mois à venir ?

Yogi Chandiramani : Les attaques avancées sont perpétrées par des "personnes". Par conséquent, elles sont évolutives et s’adaptent aux protections mises en place. Les enjeux stratégiques associés aux systèmes SCADA sont énormes. Ainsi, le gain pour les attaquants est d’autant plus pertinent. Nous constatons déjà un nombre de vulnérabilités plus important sur les contrôleurs industriels. De plus, la fin de support de Windows XP encore grandement déployé dans les systèmes SCADA ne va que renforcer cette tendance.