Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 





















Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Black Hat 2013 : Pleins feux sur les systèmes embarqués

avril 2013 par Loïc GUEZO

La toute dernière session de la Black Hat Europe 2013 (1) vient de se dérouler à Amsterdam, du 12 au 15 mars 2013 ; le leitmotiv des participants « la maîtrise des systèmes ne peut pas se passer de la connaissance de comment les choses ne vont plus fonctionner en conditions de défaut... » y aura été, encore cette année, particulièrement soutenu !

Au-delà des remises à niveau technologiques présentées chaque année (sur un choix de technologies phares et ciblées pour des démonstrations autour du durcissement de systèmes, OS, des manipulation avancée de pile et autre contournement XML, attaques en règle des dizaines de solution de MDM qui émergent, ... ) et d’une ouverture internationale des plus fortes, un nouveau type d’intervention a retenu mon attention de par leur qualité : l’étude de l’informatique embarquée, systèmes embarqués … :

• l’analyse complète, avec un bench de test fourni, pour les réseaux de véhicule. Présents dans des millions de véhicules, ils restent assez peu connus. Bien entendu, leur analyse montre immédiatement les possibilités d’altération, de spoofing, … avec les conséquences immédiates sur le comportement de la voiture. Ne manque plus que la connectivité Internet pour rendre tout cela accessible en mouvement ! Le chaos sur nos routes ?

• le même travail a été réalisé sur les équipements médicaux. Et fait froid dans le dos !

• La conférence majeure (en terme d’attention et de relais dans les médias) est la conférence SCADA/ICS de Kyle Wilhoit, chercheur de l’équipe Future Threat Research de Trend Micro.

Les problématiques de sécurisation des systèmes industriels sont au cœur de l’actualité en France (2), et Stuxnet et suivants sont encore bien présents, jusque dans les souvenirs du grand public.

La présentation a été consacrée au retour d’expérience en cours.

Kyle a crée dans le sous-sol de sa maison une réplique complète d’un système industriel, simulant le système de contrôle de distribution d’eau d’une petite ville de Province américaine. Les systèmes accessibles par Internet comportent des systèmes ICS de contrôle-commande, un système de contrôle et de supervision SCADA ainsi qu’un système informatique de back-office tradtionnel, avec des documents, des fichiers XL crédibles… Le tout positionné sous un infrastructure de contrôle d’activité permettant à Kyle de suivre toutes les activités réalisées sur ces systèmes, et lui permettant de remettre en activité les « pompes » après un arrêt inopiné par exemple, comme dans le monde réel…

Une fois mis en place le système, Kyle a observé pendant 4 semaines en 24/7, en fin d’année 2012, l’intérêt suscité…

Ce retour d’expérience reste aujourd’hui unique sur deux aspects :

• une photographie précises des attaques (retenues à partir du moment elle était ciblée, tentant de modifier les systèmes de pompe, ou agissant sur les protocoles ModBus et DNP3 ainsi qu’en cas d’attaque DOS)

• la formalisation après coup du mode opératoire de certaines attaques ; en particulier, l’utilisation des données des fichiers bureautiques pour faire du social engineering sur le « personnel de l’usine », une attaque spear fishing au nom du maire de la localité simulée, et après un processus discret de prise de contrôle, la mise en place d’outils de surveillance et exfiltration des données sur plusieurs jours, réalisés depuis la chine…

Des sujets à suivre en 2013, sans aucun doute (3).

En conclusion, et en attendant l’édition 2014, il faut noter les très nombreux commentaires similaires faits cette année sur l’intérêt, l’activité, et les modalités de coopération (demandes ouvertes ou à l’inverse blocages fermes) issus des différentes Agences Nationales de Sécurité...


(1) http://www.blackhat.com/

(2) Le CLUSIF, à l’occasion de la célébration de ses 20 ans, annonce la création en 2013 d’un Groupe de travail "Systèmes industriels", en corrélation avec les travaux de l’ANSSI autour des OIV (Opérateurs d’Importance Vitale).

(3) Projet SHODAN de recherche de systèmes industriels connectés à l’Internet.

(4) en 2012, 171 vulnérabilités pour 55 vendeurs


Voir les articles précédents

    

Voir les articles suivants