La sécurité des infrastructures critiques

avec Eugène Kaspersky

La sécurité des infrastructures critiques

Eugène Kaspersky est Président & CEO de Kaspersky Lab, c'est dire s'il en connait un rayon en termes de sécurité des infrastructures. Dans cet article, il se focalise sur les systèmes de contrôle de processus industriels. Il n'hésite pas à tacler certains comportements, et aussi à rajouter la touche d'humour qui le caractérise.

La sécurité des infrastructures critiques fait partie des priorités de Kaspersky Lab. Il faut notamment être en mesure de surveiller et d'anticiper les dangers comme par exemple les attaques d'usines, de centrales nucléaires, de réseaux de transport ou d'électricité, voire même de systèmes de contrôle de processus industriels (ICS - Industrial Control System).

En fait, il n'y a là rien de bien nouveau : si les incidents de sécurité touchant des infrastructures critiques ne font pas les gros titres toutes les semaines, c'est principalement parce que la plupart des incidents sont tenus secrets ou encore tout simplement parce qu'ils passent inaperçus.

Nous allons par conséquent passer en revue un certain nombre de faits suspicieux concernant les incidents de sécurité dans les infrastructures critiques, tout en prodiguant quelques conseils sur la conduite à tenir face à ces différentes menaces.

Et il est peu de dire que les motifs de stupéfaction ne manquent pas...

Le mot d'ordre des ingénieurs qui conçoivent et installent ces ICS consiste à assurer un fonctionnement stable et ininterrompu du système, puis à ne surtout plus y toucher. Peu leur importe qu'une vulnérabilité découverte dans le système puisse permettre l'intrusion d'un pirate. L'important, c'est que le système continue de fonctionner sans accroc. En effet, toute intervention risque fort d'entraîner un arrêt même momentané du système ICS, ce qui est tout bonnement inconcevable pour ses responsables. Voilà comment sont traitées les infrastructures critiques aujourd'hui !

En septembre de l'année dernière, nous avons mis en place un « honeypot », c'est-à-dire un leurre relié à Internet, tout en prétendant qu'il s'agissait d'un système industriel en service. Résultat ? En un mois, il a été victime de 422 intrusions et, à plusieurs reprises, les cybercriminels sont parvenus jusqu'à des automates programmables (PLC), l'un ayant même réussi à les reprogrammer (à l'instar de Stuxnet). On peut donc affirmer que si un ICS est relié à Internet, vous pouvez être pratiquement sûr qu'il sera piraté dès le premier jour.

Or, on n'ose même pas imaginer ce qu'il est possible de faire en piratant un système de ce type ! Un scénario-catastrophe digne d'une superproduction hollywoodienne sûrement. La preuve, dans les premières heures de 2014, un des ordinateurs du centre de commande de la centrale nucléaire de Monju au Japon a été infecté par un malware lors d'une connexion internet opérée par le personnel de service afin de mettre à jour un logiciel vidéo gratuit ! Non, ce n'est pas une plaisanterie.

Disons-le clairement : « un ordinateur industriel doit être comme un ermite, c'est-à-dire n'avoir absolument aucun contact avec le monde extérieur ». Ce n'est pas plus compliqué que cela. Et cela vaut aussi pour les clés USB : chacune d'entre elles doit faire l'objet d'un examen très minutieux. N'oublions pas que Stuxnet s'est infiltré dans le site nucléaire de Natanz via une clé USB.

Jouons les Cassandre

J'ai déjà évoqué le scénario du film Die Hard 4 : Retour en enfer, soulignant qu'il s'agit à la fois d'élucubrations hollywoodiennes et d'une description totalement crédible de ce qui pourrait se passer un jour. Voici un autre exemple du même acabit...

Un chercheur s'est amusé à essayer de donner aux rues des villes américaines une ambiance de discothèque en piratant le système de commande des feux de signalisation.

Le rapport de ce chercheur est assez convaincant. J'ai particulièrement noté les conclusions suivantes :

- « ...il n'a pas été difficile de découvrir des vulnérabilités [dans les systèmes de commande de la circulation] (en fait, il a été plus compliqué de les faire fonctionner correctement mais c'est une autre histoire) »

- « J'ai même testé une attaque lancée à partir d'un drone volant à une altitude supérieure à 200 mètres et cela a marché ! »

- « Plus de 250 clients dans 45 Etats américains et une dizaine de pays »

- « Concernant une autre faille, le fournisseur déclare y avoir remédié sur les versions plus récentes du système. Problème : encore faut-il se procurer un nouveau modèle pour remplacer l'ancien. »

De nos jours, les ordinateurs pilotent pratiquement tout et partout. Or, qui dit ordinateur, dit risque de piratage et, dès lors qu'il est possible de pirater une machine, alors un scénario à la Watch Dogs devient de plus en plus réaliste.

Vous pensiez qu'Apple est lent à corriger les vulnérabilités ? Pour les ICS, c'est bien pire. Le manque de sécurité des ICS est aggravé non seulement par la réticence de leurs opérateurs à intervenir dans leur fonctionnement mais aussi par l'attitude des fabricants.

Laissez-moi vous parler du cas de la société RuggedCom, qui fabrique des équipements réseau pour l'énergie, l'industrie, les transports et d'autres secteurs critiques. Un cas qui est loin d'être isolé, bien au contraire.

Début 2011, un chercheur a découvert dans un équipement de RuggedCom une faille permettant d'accéder assez facilement aux identifiants de l'administrateur. Il a informé RuggedCom de cette vulnérabilité et n'a cessé de demander - une année durant ! - que celle-ci soit corrigée ou que les clients soient au moins incités à bloquer l'accès à distance. Face à l'immobilisme et aux sourdes oreilles, il a rendu la faille publique en s'adressant au CERT américain.

Bien entendu, avec le tollé qui s'est ensuivi, la vulnérabilité a été immédiatement corrigée. Il reste que - je suis prêt à le parier - moins de la moitié des utilisateurs ont appliqué le correctif. Imaginez tous ces systèmes vulnérables qui subsistent...

Les failles des ICS

Pour souligner la fragilité des systèmes ICS modernes, prenons encore un exemple.

Un beau matin, un autre chercheur en sécurité qui, précisons-le, n'avait jamais eu affaire aux ICS, a décidé de se plonger dans certains de leurs logiciels. Il n'a pas tardé à être effaré. Il ne lui a fallu que sept minutes pour découvrir la première faille « zero day », suivie d'une vingtaine d'autres avant la fin de la journée, parmi lesquelles plusieurs permettant d'exécuter du code à distance !

Comme l'a dit un intervenant de SAS : « Les ICS en sont restés aux années 90 ». Ces systèmes ont été conçus au siècle dernier, par des personnes et selon des normes du siècle dernier, mais sont toujours en service aujourd'hui.

Robo*.*

Il ne fait pas de doute dans mon esprit que d'ici environ cinq ans, nous serons entourés d'essaims de drones volants, roulants ou rampants de toutes sortes.

L'an passé, l'annonce par Amazon de son intention d'effectuer ses livraisons express par drones ne relève pas de la science-fiction. Les drones arrivent vraiment ! Les problèmes seront autant d'ordre juridique que technique, puisqu'il faudra créer des couloirs aériens spéciaux et de nouvelles règles de vol pour ces appareils, diffuser des bulletins météo à leur intention, octroyer des licences aux utilisateurs et aux fabricants, etc.

Nous en prenons le chemin... et pas seulement dans les airs. Récemment, Google a présenté les prototypes de ses premières voitures sans conducteur (le terme « automobile » prend enfin tout son sens plus d'un siècle après son invention).

Mais les drones font également leur entrée dans les infrastructures critiques. Le bon côté est que les drones permettent d'automatiser de nombreuses tâches rebutantes, difficiles ou non rentables. Revers de la médaille : tous ces automatismes pourraient un jour déclarer forfait avec fracas.

Et ce jour-là...

Et la lumière sera !

Pour conclure, un peu de « poésie ».

Depuis l'an 2000, nous savons que les réseaux d'électricité sont vulnérables aux virus au même titre que l'ordinateur de M. Tout-le-monde.

Le photographe français Thierry Cohen en a tiré une série de clichés, intitulée Darkened Cities, montrant les effets que pourrait avoir une telle attaque, à travers d'époustouflantes vues nocturnes de Hong Kong, New York, San Francisco, Paris, Shanghai, São Paulo et de nombreuses autres métropoles, toutes privées d'éclairage électrique. Par conséquent, si une nuit toutes les lumières s'éteignent chez vous, pas de panique ! Il est possible qu'il ne s'agisse que de l'attaque d'un virus ou d'un pirate. Auquel cas il faudra peut-être paniquer tout de même...

Les choses sont-elles aussi graves qu'elles en ont l'air ? Sont-elles appelées à empirer ?

Oui, la situation est grave : nous sommes au bord du précipice depuis plusieurs années déjà. Les éléments vitaux des infrastructures critiques peuvent à tout moment s'écrouler comme un château de cartes.

La solution n'est pas dans la capitulation. Je suis convaincu que le monde saura faire face au problème, en empruntant trois voies : le développement d'une nouvelle génération de logiciels, d'une nouvelle architecture plus sûre pour les infrastructures critiques et de normes de sécurité nationales et internationales.

Grâce à cette stratégie en trois points, toute panne d'éclairage ne saurait alors être imputable qu'à quelques ampoules grillées, rien de plus. 

* La société a été classée quatrième dans le classement IDC Worldwide Endpoint Security Revenue by Vendor, 2011. Ce classement a été publié dans le rapport d'IDC Worldwide IT Security Products 2012-2016 Forecast et parts de marché des fournisseurs 2011 (IDC #235930, Juillet 2012). Le rapport classe les éditeurs de logiciels selon les revenus des ventes de solutions de sécurité en 2011.

I4yOu - 28 impasse de l'Olivier - 83230 Bormes les Mimosas
Optimisé par Webnode Cookies
Créez votre site web gratuitement ! Ce site internet a été réalisé avec Webnode. Créez le votre gratuitement aujourd'hui ! Commencer