Archives par mot-clé : scada

backdoor, Chiffrement

Snake : un ransomware venu d’Iran ?

Le ransomware Snake capable de prendre en otage des systèmes de contrôle industriels. Le code malveillant viendrait d’Iran.

Le rançongiciel « Snake », comme d’autres du genre, chiffre les programmes et les documents sur les machines infectées. Étonnant, les auteurs présumés de ce code serait Iranien, mais surtout, le logiciel de rançonnage pourrait supprimer les copies de fichiers des stations infectées. Ecrit en langage Golang, il chiffre tous les fichiers qu’il rencontrera.

Snake s’attaque à tous les processus du système liés aux ICS et SCADA. En cas de non paiement, il efface l’ensemble des données. Des chercheurs de la société Israélienne Otorio indique que Snake s’attaque à la compagnie nationale de pétrole de Barheïn, BAPCO (Bahrain Petroleum Co.). La société est mentionnée dans la demande de rançon sauvegardé en fichier texte sur la machine prise en otage.

A noter que le code de Snake s’échange sur certains forums pirates comme a pu le constater la société Québécoise spécialiste en cybersécurité The 8Brains. Code simple, mais efficace face à des entreprises qui n’ont pas pris soin de se protéger… un minimum !

Android, Argent, Arnaque, BYOD, Chiffrement, Cloud, Communiqué de presse, Cybersécurité, Entreprise, escroquerie, Identité numérique, ios, Particuliers, Phishing, Sécurité, Securite informatique, Smartphone

Cybercriminalité 2017 : personne n’est épargné

Cybercriminalité : 6 mois après la publication de ses prédictions pour l’année 2017, ESET® revient sur les tendances essentielles. La multiplication des attaques sur mobiles et IoT, la prise de contrôle des infrastructures critiques, la protection de la vie privée des utilisateurs, les cybermenaces sur le secteur de la santé et l’élargissement des cyberattaques aux gamers. En voici un extrait.

Cybercriminalité et mobiles ! Sur la plateforme Android, de janvier à mai 2017, 255 failles de sécurité ont été découvertes. Il s’agit de près de la moitié du nombre total de failles de l’année 2016. Pour les codes malicieux, 300 nouveaux échantillons de malwares Android sont découverts en moyenne chaque mois […]. De plus, 224 failles de sécurité ont été signalées en mai 2017 sur la plateforme iOS, soit 63 de plus qu’en 2016. Parmi elles, 14% sont considérées comme critiques.

Les infrastructures critiques de type SCADA

Cybercriminalité et l’augmentation et la sophistication d’attaques sur des infrastructures critiques. Le malware Industroyer découvert par ESET au mois de juin en est un parfait exemple. […] ESET précise que les infrastructures critiques ne se limitent pas aux réseaux électriques. À l’ère du numérique, elles englobent de plus en plus les systèmes d’ingénierie tels que les chaînes d’approvisionnement et Internet lui-même.

Protéger la vie privée des utilisateurs, un enjeu mondial

2018 protègera davantage les données des utilisateurs. Grâce au RGPD (GDPR en anglais), ils pourront jouir de leur droit à l’oubli et supprimer/gérer les informations les concernant. Parallèlement, la Chine a également adopté une nouvelle loi […]. Ainsi, de nombreux efforts sont faits à l’échelle internationale afin de légiférer les droits des utilisateurs concernant leur vie privée.

La santé, secteur cible numéro 1

La transformation digitale du secteur de la santé attiret les cybercriminels. Doit-on s’inquiéter du traitement de nos données par les professionnels de santé ? […] En 2017, certains hôpitaux européens notamment du Royaume-Uni (dont 48 services de santé publics) ont dû suspendre leurs services et quelques dispositifs médicaux suite à l’infection de leurs systèmes par des malwares.

L’industrie du jeu vidéo

Les ressources, informations et profils des joueurs sont devenus de plus en plus précieux. Outre les trafics internationaux de comptes volés appartenant à des joueurs et l’obtention de monnaie virtuelle de manière frauduleuse […] ESET a découvert un nouveau type de ransomware, le rensenware : au lieu d’exiger une rançon financière pour récupérer les fichiers chiffrés, il demande à la victime de jouer à un jeu vidéo japonais jusqu’à obtenir un score élevé, le niveau « lunatic ».

Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, Propriété Industrielle, Scada, Social engineering

Piratage : Coupure de courant en Ukraine à la suite d’un acte 2.0 contre une centrale

Coupures de courant en Ukraine à la suite de l’attaque informatique à l’encontre d’une centrale électronique.

Les professionnels de la sécurité des systèmes d’information alertent depuis quelques années sur les vulnérabilités, les failles et les défauts de sécurisation dans les systèmes industriels. L’attaque Stuxnet en 2010 a non seulement démontré que ce genre d’attaque pouvait endommager un système SCADA mais a aussi généralisé l’outillage et le mode opératoire, pour être exploitable par des non experts.

Le 23 décembre 2015, une variante du logiciel malveillant Black Energy a paralysé plusieurs centrales électriques Ukrainiennes, causant une coupure électrique dans une des régions du pays. Avec cette attaque et 5 ans après Stuxnet, on voit bien que la menace ciblant les systèmes industriels SCADA est plus que jamais présente et constitue un risque réel pour les infrastructures vitales d’un pays.

Conçu au départ en 2007 comme Cheval de Troie pour mener des attaques en Déni de Service Distribués (DDOS), BlackEnergy a mué au fil du temps en un outil modulaire et sophistiqué, capable de passer inaperçu et conçu comme une boite à outil pour contourner les antivirus, mener des campagnes de fraude sur les banques en ligne ou des attaques ciblées.

La Loi de Programmation Militaire aborde ces aspects de protection contre les cybermenaces et liste les mesures de sécurité à mettre en œuvre en vue de protéger les infrastructures vitales. Afin de se préparer au mieux contre des attaques visant des OIV (Opérateur d’Importance Vitale), il faut effectivement mettre en place des mécanismes de protection et de cloisonnement entre les réseaux SCADA et les autres réseaux ; mais encore faut-il avoir la visibilité et l’intelligence pour détecter les intrusions au niveau applicatif.

La solution pourrait venir de l’Analyse Comportementale ou des “Analytics” qui consistent à agréger, corréler et interpréter des informations issues des infrastructures réseaux et applicatives. La société F5 Network propose ce type d’outil, capable de détecter différent types de malwares qu’ils soient génériques ou ciblés. En novembre dernier, le HackFest Canada 2015, proposait un concours de hacking éthique sur le thème, entre autres, du piratage d’infrastructures SCADA.

En France, la licence CDAISI (Licence Professionnelle Cyber défense, anti-intrusion des systèmes d’information) de Maubeuge apprend aux informaticiens (à partir de bac +2) à réfléchir comme un pirate informatique afin de mieux les contrer propose des cours sur ce thème.

Dans le cas des centrales électriques Ukrainienne, le cheval de Troie BlackEnergy a ciblé et exploité des postes de travail des opérateurs, donc « légitimes », en utilisant des vulnérabilités connues comme vecteurs d’attaques. Une fois installé sur le poste de l’opérateur, Black Energy a eu le champ libre pour intercepter les crédentiels (couples nom d’utilisateurs / mots de passes) utilisés par les opérateurs en charge des systèmes SCADA. Rien de magique. Un pirate malin, un courriel bien ciblé, des ordinateurs nons sécurisés, ni mi à jour et le tour était joué. la cible est moins conventionnelle.

Face à ce mode opératoire, la solution est de mettre en place des technologies de protection contre la fraude qui permettent d’avoir une visibilité sur les activités frauduleuses initiées depuis le poste de l’opérateur d’un système SCADA. L’objectif étant de détecter les comportements identifiables d’un malware et de brouiller, par exemple, les crédentiels collectés lors de l’utilisation d’un navigateur Web, comme le fait BlackEnergy.

Chiffrement, cryptage, Cyber-attaque, Cybersécurité, Emploi, Entreprise, Fuite de données, Leak, Mise à jour, Patch, Piratage, Propriété Industrielle, Scada

La sécurité informatique au sein des environnements industriels 4.0 : le savoir est la meilleure protection

Avec l’Industrie 4.0, les entreprises du secteur industriel ont accès à l’Internet… mais risquent également d’ouvrir leurs portes aux pirates. La meilleure façon de se protéger des fuites de données et du sabotage est de tirer parti d’informations décisionnelles. Des initiatives comme Shodan et Conpot permettent aux équipes chargées de la sécurité de profiter de grandes quantités de renseignements sur leurs propres vulnérabilités et les méthodes des pirates. Comme le dit notre slogan, chez DataSecurityBreach.fr, s’informer, c’est déjà se sécuriser.

Les sites de production des sociétés industrielles et du secteur de l’énergie ont été relativement à l’abri des attaques au cours des dernières décennies. Les systèmes de contrôle industriel (ICS) les plus répandus tels que les SCADA étaient optimisés pour accroître le rendement, et tenus à l’écart d’Internet (créant ainsi le fameux « Air Gap », ou « lame d’air »). Ils communiquaient à l’aide de protocoles propriétaires tels que Modbus, Profibus, S7comm ou DNP3, et étaient rarement les cibles des cybercriminels.

La situation a changé. L’interconnexion des systèmes de production est la promesse de gains énormes en matière de rendement, ce qui pousse de plus en plus d’entreprises à ouvrir leurs réseaux. Cette approche leur permet de simplifier et de centraliser la gestion de leur système, facilite la fourniture de nouveaux services, et contribue à minimiser les temps d’arrêt liés à l’assistance et à la maintenance, ainsi que leurs coûts.

Connecter des réseaux ICS à Internet présente cependant des menaces réelles. Un pirate parvenant à accéder au réseau peut alors infiltrer l’environnement de production étape par étape. Le logiciel et le matériel propriétaires utilisés ne sont généralement pas intégrés avec les systèmes de sécurité, et sont donc essentiellement non protégés. Selon ses objectifs et ses intentions, le pirate peut commencer à récupérer des données sensibles, manipuler les processus de production ou même saboter l’environnement de production tout entier. Le potentiel de dégâts de ce type d’attaques (prenons l’exemple marquant d’une attaque menée à l’encontre d’une centrale) est évidemment nettement plus élevé que celui d’une attaque MITM (l’interception de communications entre deux parties) contre une entreprise du secteur tertiaire ou autre.

Au commencement, il y eut Stuxnet
Au cours des dernières années, de nombreuses attaques de ce genre ont été enregistrées, Stuxnet en étant l’exemple le plus connu. En 2010, le ver SCADA (qui sans doute a été développé par des organismes gouvernementaux occidentaux) a ainsi saboté le projet de recherche nucléaire iranien. Ce fut le premier logiciel malveillant prouvant (officiellement) que du code informatique pouvait provoquer des dégâts sur des équipements matériels. Depuis, bien d’autres ont été menées à l’encontre de sites industriels, souvent en utilisant des logiciels malveillants créés sur mesure avec des fonctionnalités destinés aux ICS, comme Duqu ou Havex.

L’organe ICS-CERT (géré par le département américain de la Sécurité intérieure, et spécialisée dans la protection des infrastructures critiques) énumère d’ailleurs plusieurs faits inquiétants dans son Rapport pour l’année 2014 : son équipe d’analyse de la sécurité a été consultée dans près de 250 cas afin de participer à l’analyse de cyberattaques lancées sur des cibles critiques. Une grande partie de ces attaques étaient ciblées, les pirates s’infiltrant souvent dans les entreprises par la partie connectée à Internet de leur réseau à l’aide de logiciels malveillants sur mesure. Les cybercriminels utilisent également une grande variété de techniques. Selon l’ICS-CERT, le Spear phishing (une variante de hameçonnage où les employés sont convaincus d’exécuter des logiciels malveillants grâce à des e-mails semblant provenir de leurs supérieurs) reste le vecteur d’attaque le plus populaire. Mais d’autres menaces gagnent aussi en popularité, comme les attaques aux « points d’eau » (« watering hole »), une stratégie consistant à remplacer les mises à jour logicielles sur les sites des éditeurs par des chevaux de Troie, eux aussi taillés sur mesure.

Le BSI répertorie les attaques contre les ICS

L’Office fédéral allemand pour la sécurité des technologies de l’information (BSI) brosse un tableau similaire. Son rapport annuel « État des lieux de la sécurité informatique en Allemagne en 2014 » documente, entre autres, une attaque réussie sur une aciérie allemande. Les pirates ont utilisé les méthodes du Spear Phishing et de l’ingénierie sociale pour accéder au réseau de l’entreprise victime. Ils ont alors infiltré l’environnement de production, où ils ont causé d’énormes dégâts en compromettant plusieurs systèmes de contrôle. Le BSI affirme que les cybercriminels possédaient des connaissances détaillées sur les systèmes de contrôle industriel et les processus de production, en plus de leurs évidentes compétences en informatiques.

L’information est d’une importance cruciale

La guerre cybernétique a donc atteint les sites de production. Cela ne signifie pas nécessairement que le secteur industriel devrait renoncer au potentiel offert par l’interconnectivité, ni même en ralentir la progression. Les services chargés de la sécurité informatique doivent utiliser des systèmes de sécurité existants pour faire en sorte que les réseaux soient connectés à l’Internet de façon sécurisée. Mais pour cela, il leur faut d’abord des informations décisionnelles et détaillées. Ils doivent également connaître les vulnérabilités de leurs réseaux de production, les vecteurs d’attaque et les outils de piratage, ce qui leur permettra d’analyser les attaques, de neutraliser les logiciels malveillants et de réparer les dégâts éventuels.

Les experts en matière de sécurité cherchant à rassembler ces informations peuvent également s’appuyer sur leurs grandes connaissances et leurs réseaux de renseignement établis : d’une certaine façon, les attaques contre les systèmes industriels sont assez similaires aux attaques classiques contre les environnements informatiques des entreprises du tertiaire. Mais, bien que la protection effective de certains systèmes ICS puisse être très étendue, le problème reste que les informations disponibles sont limitées. Heureusement, la situation évolue également à ce niveau. Plusieurs initiatives de sécurité innovantes sont axées sur la protection des milieux industriels, et ont clairement pour principal objectif de fournir aux professionnels de la sécurité les renseignements dont ils ont besoin sur les menaces et les vulnérabilités.

Shodan et honeypot Conpot ICS/SCADA, des initiatives intéressantes

Shodan : le moteur de recherche pour l’IdO
Le moteur de recherche Shodan a été créé par le développeur John Matherly en 2009, permettant ainsi aux utilisateurs de rechercher sur le web une grande variété de systèmes connectés à Internet. Contrairement aux moteurs orientés contenu comme Google, Shodan utilise les scans des ports des adresses IP disponibles, puis recueille et indexe les bannières qu’il reçoit ensuite. Il peut ainsi parcourir le Web à la recherche de serveurs ou de routeurs d’un certain type, ou même de terminaux possédant des adresses IP comme des caméras de sécurité ou des dispositifs médicaux. Les utilisateurs peuvent créer leurs requêtes en utilisant une grande variété d’options de filtrage, par exemple en combinant des noms de fournisseurs, des informations sur des ports, des codes ou des protocoles régionaux afin de trouver des serveurs SCADA dans leur pays. Shodan est donc un bon outil pour localiser les vulnérabilités ou les systèmes mal configurés au sein de votre réseau : si une recherche révèle que l’un des automates ou l’une des IHM sur la plage d’IP de votre entreprise est visible sur Internet, vous savez que l’un de vos systèmes est probablement mal configuré et avez la possibilité de corriger cette erreur. Les vulnérabilités causées par des systèmes non patchés, des ports ouverts ou des mots de passe par défaut inchangés peuvent être repérées et corrigées tout aussi facilement. Cependant, si vous trouvez votre système sur Shodan, il est probable que vous ne soyez pas le seul. La proactivité reste donc de mise.

En outre, ce moteur de recherche n’est pas sans détracteurs. Comme presque toutes les solutions de test et de gestion des vulnérabilités, Shodan est souvent critiqué car il peut être utilisé à mauvais escient comme outil de piratage puissant, ce qui est incontestable : des boîtes à outils de piratage avec des interfaces Shodan existent depuis longtemps sur le Darknet. Mais la plupart des experts en sécurité s’accordent sur le fait que des fonctions de recherche similaires sont également disponibles en utilisant des botnets. Les professionnels de la sécurité des environnements industriels devraient clairement envisager d’intégrer Shodan à leur gestion des vulnérabilités.

Analyser les vulnérabilités et minimiser la visibilité d’un ICS sur Internet est de toute évidence un premier pas important dans la sécurisation des environnements de production. Mais la recrudescence des menaces ciblées persistantes et complexes (APT), qui sont créées sur mesure pour passer à travers les mailles des systèmes de sécurité existants, oblige les équipes chargées de la sécurité à analyser l’éventail des menaces tout aussi minutieusement.

Malheureusement, peu d’informations sont disponibles sur la façon dont les attaques contre les sites industriels surviennent, ou alors ces renseignements sont publiés trop longtemps après un incident. En effet, peu de cas sont documentés, et peu d’informations tangibles sur les menaces ont été recueillies jusqu’à présent. L’initiative de sécurité Conpot a pour but de changer la donne.

Conpot : des pots de miel pour le secteur industriel

L’initiative Conpot (abréviation de « système de contrôle Honeypot ») a été créée sous l’égide du Projet Honeynet par un groupe de professionnels de la sécurité expérimentés, parmi lesquels Lukas Rist de Blue Coat Systems. Le principe est de créer partout sur Internet des systèmes virtuels interactifs se comportant exactement comme des serveurs ICS ou des réseaux industriels non protégés. Une fois ces systèmes en place, le développeur du système honeypot (« pot de miel ») n’a plus qu’à attendre qu’un pirate attaque le site, terminal distant (RTU) ou ICS ainsi émulé, et peut alors observer et analyser l’attaque étape par étape. Par nature, tous les cas permettent de procéder à une analyse utile de leur vecteur d’attaque. L’intérêt supérieur de ces pots de miel se manifeste lorsque les membres de cette initiative peuvent corréler les données de plusieurs dizaines d’attaques, puis analyser leurs tendances et évolutions, identifier d’éventuels axes régionaux ou thématiques d’attaque, et recueillir ainsi davantage des données précieuses.

Habituellement, pour un analyste, rechercher une anomalie dans son réseau de production est comme chercher une aiguille dans une botte de foin. En déployant un honeypot dans votre réseau, tous les événements qui atteignent ce terminal sont susceptibles d’être des « aiguilles » (par exemple les attaques ou dispositifs mal configurés), étant donné qu’aucun élément réel n’est censé communiquer avec ce pot de miel. Ce dernier peut également être vu comme un leurre : le temps qu’y passe le pirate ainsi piégé correspond au laps de temps dont vous disposez pour sécuriser votre infrastructure critique avant qu’elle ne soit compromise à son tour.

N’importe quel professionnel de la sécurité peut contribuer à Conpot. L’émulateur est disponible en tant que logiciel Open Source à l’adresse www.conpot.org. Avec cet outil puissant, chaque développeur a la possibilité de concevoir un modèle réaliste et virtuel de son environnement, et de le connecter à Internet. Ainsi, les responsables de la sécurité peuvent obtenir des renseignements utiles leur indiquant ce à quoi ils doivent s’attendre en connectant leurs systèmes à Internet, et peuvent planifier leurs défenses en conséquence.

Les cyberattaques menées à l’encontre d’environnements industriels sont un phénomène réel. Ces attaques suivent essentiellement les mêmes mécanismes que pour les environnements des entreprises classiques du tertiaire. Une grande partie des attaques ont des motifs professionnels : d’abord, parce que les lamers (ou « script kiddies ») ne sont pas encore vraiment actifs dans ce segment, et ensuite parce que l’énorme potentiel de dégâts (ou la valeur des actifs) suscite l’intérêt d’acteurs importants tels que des organismes gouvernementaux, des groupes terroristes et des voleurs de données professionnelles. Les entreprises cherchant à sécuriser leurs réseaux doivent donc vérifier et minimiser la visibilité de leurs systèmes ICS sur Internet. Face à la recrudescence des menaces complexes, il est de plus en plus important de collecter de renseignements sur les menaces. Les équipes de sécurité ont besoin d’informations détaillées sur les vecteurs d’attaque et sur l’ensemble du cycle de vie des menaces. Ils peuvent alors élaborer une stratégie de défense globale en s’appuyant sur ces informations. Des initiatives telles Shodan et Conpot sont d’ailleurs un bon point de départ pour la collecte des renseignements nécessaires.

En parallèle, les entreprises doivent mettre en œuvre des meilleures pratiques de sécurité et protéger minutieusement les parties de leurs réseaux accessibles au public. Des solutions de sécurité dédiées aux ICS existent également pour les environnements particulièrement sensibles. Par exemple, Blue Coat propose la solution d’analyse ICS Protection Scanner Station, qui protège les systèmes industriels des logiciels malveillants véhiculés par des périphériques USB. En outre, la solution Security Analytics Platform Analytics propose également un module SCADA ThreatBLADE permettant d’identifier en temps réel les activités potentiellement malveillantes ciblant les systèmes SCADA.

Le rêve d’une solution parfaitement intégrée pour la protection des environnements industriels ne deviendra réalité qu’une fois que l’ensemble des différentes normes industrielles propriétaires auront été remplacées par des systèmes informatiques standard, et ces derniers intégrés aux architectures de sécurité existantes. Les technologies nécessaires pour cela (le protocole réseau IPv6, la surveillance complète des réseaux et la gestion rigoureuse des correctifs et des vulnérabilités) existent maintenant depuis un certain temps. L’étape suivante est leur mise en œuvre complète, ce qui pourrait prendre un certain temps en raison des cycles de vie plus longs des équipements industriels. (Christophe Birkeland pour DataSecurityBreacg.fr. Il est directeur technique en charge de la division Malware Analysis chez Blue Coat Systems).

backdoor, Chiffrement, cryptage, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Leak, Piratage, Social engineering

Quand les virus informatiques détruisent nos complexes industriels

Fin décembre, le gouvernement allemand a émis un rapport concernant une cyber-attaque contre une aciérie, qui a eu pour conséquence des dommages conséquents causés à l’usine. L’événement a été largement médiatisé depuis, de la BBC à Youtube ; le SANS Institute (SysAdmin, Audit, Network, Security) a notamment fourni une analyse détaillée de l’attaque. Nombre de ces rapports, comme celui de Wired, ont désigné l’attaque comme « le second cas confirmé dans lequel une attaque numérique a entraîné la destruction physique d’équipements », la première étant Stuxnet.

L’attaque s’est produite seulement quelques semaines après celles de BlackEnergy, ce qui a attiré mon attention, ce cas-ci constituant une attaque bien plus fondamentale contre une infrastructure majeure. L’attaque s’est concentrée sur la contamination de composants d’interface homme-machine issus de divers fournisseurs. De même que dans l’attaque sur des infrastructures américaines de gaz naturel rapportée par US-Cert en 2013, BlackEnergy représente une initiative élargie contre des capacités industrielles, bien plus sérieuse que l’attaque unique de l’aciérie allemande.

La visibilité que donne cet incident quant au risque de cyber-attaques est essentielle ; elle nous avertit que les attaques ciblées contre l’Internet des Objets en général et contre les infrastructures essentielles en particulier doivent être prises au sérieux. Certains historiens des technologies désignent juin 2010 comme le moment où tout a changé. C’est le moment où Stuxnet a frappé et aurait neutralisé un cinquième des centrifugeuses nucléaires en Iran. Depuis, le public n’a eu connaissance que de quelques autres cas d’usage de cyber-armes, mais ne vous y trompez pas : depuis 2010, les pays et « des groupes renégats » collectent des renseignements en masse et mettent au point des cyber-armes dont il peut être facilement fait usage contre un ennemi.

Les anomalies et interruptions consécutives de la connexion internet en Corée du Nord sont attribuées, sans confirmation, à des représailles suite à la récente agression d’une entreprise basée aux Etats-Unis. Suivant cette tendance, il n’est pas inimaginable que les guerres du futur se déroulent largement sur Ethernet, infligeant aux infrastructures des dommages bien plus importants et coûteux que nous ne pouvons l’imaginer.

Ce n’est pas de la science-fiction. Le directeur de la NSA, Michael Rogers, l’a annoncé publiquement : la Chine pourrait neutraliser la totalité du réseau électrique des Etats-Unis et d’autres attaques similaires pourraient être lancées, constituant des menaces concrètes pour les simples citoyens. Le trojan HAVEX récemment découvert en est un autre exemple. Ce malware a infiltré un nombre indéterminé d’infrastructures essentielles en s’intégrant à des mises à jour logicielles diffusées par des fabricants de systèmes de contrôle. Ces attaques impactent des systèmes sur lesquels nous nous appuyons quotidiennement, notamment des systèmes utilitaires, des raffineries, des systèmes de défense militaire, ou des usines de traitement des eaux.

Avec notre dépendance accrue aux technologies de l’information et nos systèmes interconnectés, nos efforts pour assurer à ces systèmes des défenses appropriées n’ont pas suivi le rythme. Par exemple, un simple pare-feu et des technologies de sécurité basées sur des règles ne garantissent pas la sûreté d’environnements diffusés ou virtuels, ni ne protègent d’attaques « jour zéro » ciblées où aucune signature n’a été développée. Les cybercriminels de niveau corporatif et les cyber-terroristes d’échelle nationale peuvent facilement tirer parti de ces brèches dans notre armure défensive et lancer la prochaine attaque d’envergure.

Lors de la mise en place de nouvelles technologies, il est essentiel de faire de la sécurité un enjeu du débat plutôt que d’y faire face par un ajout après-coup ou même suite à une attaque. Notre capacité à sécuriser les intérêts commerciaux et intérêts nationaux requiert une posture « vers l’avant » contre les scénarios de plus en plus plausibles où une arme lancée contre nous sera peut-être bien plus silencieuse mais bien plus dévastatrice lorsque nous ferons face aux cyberguerres.  (Par Christian Hiller, Président, EMC France)

Cyber-attaque, Entreprise, Fuite de données

La vulnérabilité des systèmes SCADA, une découverte mondiale et une réalité française

Un commentaire

La semaine dernière aux Etats-Unis, des chercheurs ont identifié 25 vulnérabilités zero-day (des exploits qui utilisent une faille jusqu’ici méconnue) dans des logiciels de contrôle industriel d’une seule entreprise, et plus précisément au sein de ses systèmes de gestion SCADA. Bien qu’aucune faille détectée n’ait pu permettre une prise de contrôle totale des serveurs, les chercheurs ont pu ainsi prouver que cette possibilité existait bel et bien, et que des pirates pourraient utiliser ce biais pour prendre contrôle de l’ensemble du système.

En France, Patrick Pailloux, Directeur Général de l’ANSSI, s’est exprimé lors des dernières Assises de la Sécurité  sur le besoin urgent pour les entreprises et les organismes gouvernementaux de s’assurer un haut niveau de sécurité inhérent aux systèmes industriels critiques. Le gouvernement vient appuyer le positionnement de l’ANSSI face à cette vulnérabilité des systèmes de contrôle-commande industriels via un projet de loi prévoyant que l’Etat puisse règlementer la protection des systèmes d’information critiques des Opérateurs d’importance vitale (OIV), c’est-à-dire les hôpitaux, les banques ou encore les acteurs dans le secteur de l’énergie (nucléaire, eau, électricité, etc.), des télécoms et des transports.

Jean-Pierre Carlin, Directeur Europe du Sud chez LogRhythm, commente à dataSecurityBreach.fr : « Les cyber-attaques sur les systèmes de gestion SCADA sont rares si nous les comparons aux nombreux incidents touchant des applications Internet ou encore les réseaux informatiques d’entreprise, mais les dommages causés sont bien plus graves. Il suffit que les systèmes SCADA en charge de la télégestion de l’infrastructure critique nationale soient vieillissants ou bien peu protégés pour que les hackers puissent en prendre le contrôle via un simple virus informatique. Dès lors, ils peuvent altérer les opérations au sein des usines de production d’eau, d’électricité ou des réseaux d’énergie. L’ampleur des dégâts liés aux cyber-attaques peut être colossale : elles peuvent non seulement entrainer la perte des données, lourdes de conséquences sur les entreprises et leurs clients, mais aussi engendrer des dommages sur le monde physique, avec un réel impact sur la population. »

Les systèmes SCADA sont beaucoup plus vulnérables face aux cyber-attaques dans la mesure où ils ont été développés à l’époque où Internet n’était pas encore un outil indispensable et omniprésent au quotidien, tant sur le plan professionnel que personnel. La conception du système de contrôle de sécurité s’est donc limitée aux accès physiques, ne prenant ainsi pas en compte le risque de cybermenaces.  Les plus virulentes cyber-attaques expérimentées au cours de ces dernières années, telles que les virus Stuxnet ou encore Flame, ont été initiée par le biais de systèmes SCADA, il est donc évident que de telles attaques peuvent encore frapper aujourd’hui, notamment en raison d’un niveau de sécurité insuffisant. Avec la découverte régulière de nouvelles vulnérabilités, les organisations et les gouvernements doivent prendre conscience qu’il est important et désormais urgent de renforcer la sécurité inhérente aux systèmes industriels critiques.

« Les outils traditionnels de cyber sécurité tels que les antivirus ont prouvé leurs limites à maintes reprises. Le virus Flame par exemple, a réussi à contourner le système de détection de 43 antivirus et il a fallu plus de deux ans avant qu’il ne soit identifié. Les entreprises et organismes gouvernementaux doivent donc mettre en place des solutions d’investigation, de détection et de prise en charge de toutes les menaces et vulnérabilités évoluées, avec davantage de précision et des mesures en temps réel. Pour y parvenir, une analyse permanente et complète de tous les logs générés par les systèmes informatiques est indispensable. Avec la forte augmentation de l’informatisation, les infrastructures critiques nationales deviennent de plus en plus vulnérables, il est devenu indispensable de s’équiper avec des niveaux de protection avancés, il en va de l’intérêt général. »

Entreprise, Fuite de données, Hacking

5 Etapes Importantes à la Sécurisation des Environnements SCADA

5 Etapes Importantes à la Sécurisation des Environnements SCADA. Par Eric Lemarchand, Ingénieur Système chez Fortinet, pour DataSecurityBreach.fr. L’attaque par le virus Stuxnet contre l’Iran en 2010 a fait prendre conscience de la vulnérabilité des systèmes industriels souvent connus sous le nom de SCADA (Supervisory Control And Data Acquisition ou télésurveillance et acquisition de données en français), Mis en place depuis des dizaines d’années dans de nombreuses industries, cette architecture SCADA a montré des failles sécuritaires qu’il est aujourd’hui urgent de résoudre.

Les environnements SCADA sont des systèmes de gestion et de contrôle industriel, généralement déployés à grande échelle, qui surveillent, gèrent et administrent ces infrastructures critiques dans des domaines divers et variés : transport, nucléaire, électricité, gaz, eau, etc. A la différence d’un réseau informatique d’entreprise classique, l’environnement SCADA permet d’interconnecter des systèmes propriétaires ‘métier’ : automates, vannes, capteurs thermiques ou chimiques, système de commande et contrôle, IHM (Interface Homme Machine)… plutôt que des ordinateurs de bureau. Ces infrastructures sont principalement déployées en entreprise, mais sont désormais aussi présentes chez les particuliers.

Les environnements SCADA utilisent un ensemble de protocoles de communication dédiés, tels que MODBUS, DNP3 et IEC 60870-5-101, pour établir la communication entre les différents systèmes. Ces protocoles permettent de contrôler les API (Automates Programmables Industriels) par exemple, entrainant des actions physiques telles que l’augmentation de la vitesse des moteurs, la réduction de la température… Pour cette raison, l’intégrité des messages de contrôle SCADA est primordiale et les protocoles de communication devraient être entièrement validés.

Conçus pour fonctionner des dizaines d’années, à une époque où la cybercriminalité ciblant spécifiquement le secteur industriel n’était pas répandue, ces systèmes SCADA n’ont pas été pensés en tenant compte de la sécurité réseau. Très souvent, les principes de sécurité élémentaires n’ont pas été intégrés pour deux raisons principales: d’une part, l’architecture SCADA n’était pas intégrée au système informatique classique de l’entreprise, et d’autre part, le besoin d’interconnexion avec le réseau IP n’existait pas. Le besoin de sécurité était donc alors jugé non nécessaire.

Depuis, l’architecture SCADA a évolué et les automates, systèmes de mesure, outils de commande et de contrôle, télémaintenance…, sont dorénavant interconnectés via un réseau classique IP. Ils sont également administrés par des environnements potentiellement vulnérables, comme par exemple, la plateforme interface homme-machine équipée d’un système d’exploitation Windows non patché. Jugés hautement sensibles, ces environnements n’appliquent généralement pas les patchs des systèmes d’exploitation de peur de nuire à la production. Cette crainte l’emporte d’ailleurs souvent sur celle des attaques informatiques potentielles. Les environnements SCADA, pourtant identifiés comme critiques, sont ainsi paradoxalement les moins sécurisés et devenus la cible potentielle des cybercriminels, comme nous avons pu le constater avec Stuxnet, premier ver découvert qui espionne et reprogramme des systèmes industriels. Ce virus a exploité des vulnérabilités Windows de type zero day (c’est-à-dire pour lesquelles il n’existait pas de patchs) pour compromettre des dizaines de milliers  systèmes informatiques, à la fois des ordinateurs et une centrale d’enrichissement d’uranium.

Il aura fallu le cas d’attaque de l’ampleur de Stuxnet pour que la sécurité devienne l’une des préoccupations majeures des entreprises industrielles. Alors que les attaques informatiques traditionnelles engendrent généralement des dégâts immatériels, les industriels ont, dans le cas de Stuxnet, pris conscience de la capacité destructrice et bien réelle des vers et virus avancés, affectant non seulement les données d’une entreprise mais également les systèmes de gestion des eaux, des produits chimiques, de l’énergie…

Dorénavant, les industriels cherchent à intégrer la sécurisation de leurs équipements, et ce, de façon native. Même si les moyens commencent à être mis en œuvre pour sécuriser les industries, il est aussi nécessaire que les hauts dirigeants de ces entreprises soutiennent ce besoin de sécurisation, sans quoi, bon nombre de responsables informatiques ne trouveront pas d’échos positifs à leurs initiatives, et auront des budgets et ressources limités.

De plus, à défaut d’un standard, il existe des guides de bonne conduite permettant d’appréhender les problématiques que pose ou impose SCADA, édités par exemple par NERC (North American Electric Reliability Corporation) ou l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) en France. Voici quelques étapes importantes à respecter pour appliquer une sécurité globale sur ces infrastructures jugées sensibles :   – Des mises à jour régulières Patcher régulièrement ses systèmes d’exploitation, applications et composants SCADA est une étape essentielle pour éviter les failles déjà connues par les fournisseurs de sécurité. De plus, la mise en place d’un outil de détection et d’analyse des vulnérabilités permettant d’intercepter des menaces Internet malveillantes avant qu’elles n’impactent le réseau ou le serveur cible permettra de prendre des mesures proactives pour prévenir des attaques, éviter des interruptions de services, réagir rapidement et en temps réel face aux menaces émergentes.

– Cloisonner son réseau SCADA

Il est indispensable d’isoler son réseau SCADA de tout autre réseau de l’entreprise. Pour cela, la définition de DMZ ou bastions permet de segmenter une architecture SCADA. Ainsi, le réseau de l’IHM sera dissocié des automates et dispositifs de mesures, des systèmes de supervision, des unités de contrôle à distance et des infrastructures de communications, permettant  à chaque environnement d’être confiné et d’éviter des attaques par rebond.

En quelques mots, les réseaux SCADA doivent être protégés de la même manière que les réseaux d’entreprises des logiciels malveillants et intrusions, en utilisant des systèmes de prévention d’intrusions (IPS) et des solutions anti-malware.

– Validation protocolaire

Après avoir partitionné et séparé les différents éléments d’une architecture SCADA, la prochaine étape logique est d’appliquer une validation et un contrôle protocolaire  liés aux différents composants. En d’autres termes, il est nécessaire d’inspecter le protocole MODBUS pour être certain qu’il n’est ni mal utilisé ni vecteur d’une attaque. Egalement, assurez-vous que les applications qui génèrent des demandes MODBUS sont des applications légitimes et qu’elles sont générées depuis le bon poste de travail. Ainsi, la reconnaissance des applications prend son sens.

– Contrôler et identifier les actions administrateurs-utilisateurs

En complément de la segmentation des réseaux, il devient nécessaire d’établir des règles d’accès par authentification pour que seules les personnes autorisées puissent accéder au réseau, données et applications et puissent interagir avec les systèmes SCADA, afin que ces derniers ne soient pas endommagés par un tiers. Ainsi, un administrateur sera identifié de façon différente d’un utilisateur lambda, ce qui lui permettra d’effectuer certaines configurations au travers d’IHM alors que l’utilisateur pourra uniquement avoir une visibilité sur des équipements de mesure.

– Superviser l’ensemble des réseaux

Se doter d’un outil de corrélation et de gestion d’événements est indispensable. Cela permet d’obtenir  une visibilité globale sur l’état sécuritaire de l’ensemble du réseau et permet par exemple à un administrateur de connaitre à la fois l’état d’un automate, le niveau de patch d’un IHM et sa relation avec un utilisateur ou un composant de l’architecture. La remontée d’événements de sécurité est toute aussi importante. L’administrateur ainsi informé pourra mettre en place des actions ou contre-mesures adaptées en fonction du niveau de criticité de l’événement. La mise en application de ces étapes est parfois fastidieuse mais la meilleure solution pour protéger ces systèmes critiques est d’adopter une stratégie de défense en profondeur avec une couche de sécurité à tous les niveaux, même au niveau des API,  pour un contrôle précis des échanges et communications entre les composants de l’environnement SCADA et l’infrastructure réseau.

Avec des attaques de plus en plus sophistiquées de type APT, il devient urgent que les organisations industrielles prennent conscience que la sécurité des environnements SCADA est essentielle. Il en va de leur pérennité. Un contrôle précis sur leurs réseaux, utilisateurs et applications leur permettra de se prémunir d’éventuels risques qu’il est facile d’éviter. Enfin, il est important de bénéficier d’une protection en temps réel pour identifier rapidement les menaces potentielles et mettre en place les outils de protection adéquats conçus par des équipes spécialisées.