Le Ver est dans la pomme
Après que Stuxnet ait été découvert, de nombreuses sociétés dédiées à la sécurité ont tirées la sonnette d’alarme, et c’est ce Décembre qu’a eu lieu une conférence, organisé par le Clusif, portant sur les questions de cyber-sécurité au sein des systèmes industriels
En 2010, l’Iran a été victime d’une attaque : Stuxnet, malware développé dans un effort conjoint par les Etats-Unis et Israël, avait un objectif simple : le sabotage des centrifugeuses de la centrale nucléaire iranienne du site de Natanz.
Malgré les efforts de l’Iran ( notamment la déconnexion des postes à Internet), la centrale nucléaire a bien été contaminé. Il a causé le dysfonctionnement des centrifugeuses, causant d’importants dommages aux systèmes nucléaires Iraniens.
Stuxnet a été une véritable prise de conscience
Un risque bien réel !
Les systèmes industriels pensaient que leur système était inviolable, et que les virus ne seraient qu’un coup d’épée dans l’eau. Leur état d’esprit a changé avec le Stuxnet, mais il n’est pas le seul virus qui peut faire mal comme le souligne l’Office fédéral allemande de la sécurité des technologies de l’information, qui a récemment publiée un rapport sur une attaque dont a été victime une aciérie et qui a fait pas mal de dégât : en effet, il était impossible d’éteindre de manière sécurisée un haut fourneau. Quelques temps plus tard, c’était à la Corée Du Sud d’être victime d’une attaque visant une société chargée de la gestion de centrale nucléaire : un virus a été détecté au sein du système informatique de l’entreprise. Celle-ci affirme que l’attaque était sans danger mais le caractère critique de cet opérateur a suffi à susciter de nombreuses inquiétudes.
Ces attaques, qui sont peut être un avant-gout de la Cyber-guerre qui risque de se produire, quels sont les risques concrets qui pèsent sur les systèmes industriels ?. Difficile à dire, selon le co-animateur du groupe de travail consacré à la sécurité des systèmes Scada
En effet à l’heure actuelle, on dispose d’assez peu d’informations publiques sur ces sujets. En cela le rapport de l’office fédéral allemand est quelque chose d’assez rare.
Pour bien combattre son ennemi, il faut le bien connaître, tel est le mot d’ordre d’Anthony.
Il faut que la communication évolue sur ce sujet. La loi de Programmation Militaire a commencé ce travail en imposant aux Opérateurs d’Importance Vitale la nécessité de notifier ce type d’incidents aux autorités. Mais cela reste compliqué aujourd’hui d’avoir des chiffres précis. »
Surveillances et Espionnages
Même s’il n’est pas possible de quantifier le nombre d’attaques, on peu tout de même identifier un peu mieux les différents types de menaces.Le sabotage ,’est pas une activité réservé à n’importe qui : en effet, pour le moment, seul les états ont les moyens de mettre en place ce genre d’attaques sophistiqués, qui consiste à endommager physiquement les installations via une attaque visant les fameux systèmes Scada. Mais comme le souligne Anthony, l’espionnage est aussi une une réalité bien plus accessible et répandue.
En cas d’espionnage, il faut se doter de ressources permettant la détection de ce type d’attaque, sans cela, ça peut se prolonger longtemps
Il y a de très bonnes raison de s’inquiéter, d’une part les industries ne veulent pas investir énormément dans la Cyber-Sécurité, d’autre part, la menace reste de tout de même très difficile à définir. Une difficulté de taille, précise le chargé de projet Systèmes Industriel à l’ANSSI, Stephane Meynet, qui confirme lui même l’énorme manque de sécurité dans le monde industriel.
Appliquer les « bonnes pratiques » sans réfléchir, ça ne fonctionne pas ! Si vous voulez que les gens vous écoutent, ne les flinguez pas !
Deux manières de pensées hostiles
Toute la difficulté réside en un point : Les systèmes industriels pensent avant tou à la sécurité de leurs employés et de leur installations, mais pas à la sécurité de leurs systèmes. Bien sûr, les industries se doivent d’appliquer les patchs et mises à jour au plus vite pour prévenir les exploitations possibles de failles de sécurité. Mais cela ne doit présenter aucun préjudice au système, et ne doit surtout pas provoquer un arrêt inattendu du système comme a été victime le Cloud de Microsoft
Que s’est-il passé avec Microsoft ?
Pendant la nuit du Mercredi au Jeudi 20 Novembre 2014, le Cloud de Microsoft nommé Azure a connue une série de dérèglements qui ont surtout affecter le systèmes de stockage. Cette panne a touché de nombreux client de tous les continents. Le service a été rétabli mais dans un post de blog, Jason Zander, directeur des offres Cloud chez Microsoft, est revenu sur les raisons de cette panne brutale.
Selon Jason Zander, le bug est intervenu au cours du déploiement d’une mise à jour initialement prévue pour améliorer les performances du service. Quel ironie puisque cela a provoqué l’effet inverse. Le patch avait pourtant été testé pendant plusieurs semaines auprès d’un petit groupe de clients, explique-t-il. Mais cette première mise à jour partielle n’avait rendu que des résultats positifs et la seule conséquence de l’application de la mise à jour a été « une hausse de performance globale ».
Procédures non respectées
Résultats encourageants donc, qui ont poussé Microsoft à déployer le patch dans la nuit de mercredi à jeudi. Malheureusement, lors du déploiement, une boucle infinie s’est déclarée et a causé une chute drastique des performances d’Azure. Une erreur qui aurait pu être limitée si Azure avait suivi les procédures habituelles, mais comme le souligne Jason Zander, les techniciens en charge du déploiement ont malheureusement fait l’erreur de pousser la mise à jour de manière simultanée à grande échelle, ce qui a provoqué une panne affectant donc plusieurs régions.
Cette exemple nous montre pourquoi les grandes industries renâcle à faire les mise à jours.
Des virus dans Windows
« Retour d’expérience RTE suite à Stuxnet » présentée par Philippe Jeannin lors de l’événement du 18 décembre organisé par le Clusif.
Par définition, les robots sont très faciles à programmer mais on pourrait croire que déconnecter ces systèmes d’Internet suffirait à s’épargner les risques de cyberattaques, mais les retours d’expérience prouvent que cela ne suffit pas.
Philippe Jeannin revenait ainsi sur la réaction de l’entreprise face aux alertes liées à Stuxnet
On a lancé une campagne de détection sur tous les postes. La bonne nouvelle, c’est que l’on n’était pas infecté par Stuxnet. En revanche, on a détecté environ 20% de postes liés aux systèmes de contrôle-commande (Scada) infectés par divers malware.
Comme pour Stuxnet, les clefs USB et les mauvaises habitudes du personnel peu sensibilisé à ces questions ont permis la propagation d’attaques, cette fois inoffensives, sur des postes pourtant entièrement déconnectés d’internet. L’Air Gap n’est donc pas une protection absolue.
L’Air Gap , c’est quoi ?
En sécurité informatique, un air gap a est une mesure de sécurité consistant à isoler physiquement un système à sécuriser de tout réseau informatique. Cette mesure, lorsqu’elle est correctement implémentée, rend normalement toute tentative de piratage à distance impossible, quelle que soit sa sophistication.
Cependant, il existe une parade à ce système, à l’aide de drones et de lasers: en les utilisant correctement, on peut activer ou implémenter un malware tel que StuxNet installé sur une imprimante tout-en-un, laquelle le transmettra à son tour à l’ordinateur auquel elle est reliée, permettant alors d’extirper toutes les informations désirées sans être relié à un réseau informatique.
Cette technique a été essayée expérimentalement par ses découvreurs sur un bâtiment sécurisé en Israël. Le mode opératoire consiste à émettre des instructions à distance (un kilomètre, dans le cas de cette expérience) grâce à un laser bleu - virtuellement indétectable, donc - et de récupérer les informations ensuite grâce à un drone placé lui aussi loin du bâtiment.
Une Union Nécessaire
Je ne pense pas qu’il faille forcement opposer sécurité et sûreté. Il faut que les deux travaillent en bonne intelligence. Mais une convergence est nécessaire sur ces deux visions. Un travail pas toujours facile tant les deux mondes semblent parfois opposés. On a besoin d’ingénieurs disposant de cette double casquette, à la fois formé en informatique et capables de travailler avec les automates industriels. Pour l’instant le panel est réduit, mais on constate indéniablement une montée en compétences sur ces sujets ».
l’ANSSI a ainsi réaffirmé son désir de sensibiliser les acteurs, à travers la publication de plusieurs guides, tout en assurant un rôle de certification et labellisation des nouvelles installations industrielles afin de s’assurer que les contraintes de cybersecurité sont envisagées dès la conception et l’élaboration du site.
De nombreux domaines en retard
Cinq ans après Stuxnet
Même si le nucléaire a rapidement pris conscience des risques, beaucoup de domaines sont à la traînes comme les Transports ou l’énergie.
Il y a des principes que l’on peut transposer d’un secteur à un autre, mais tous ne présentent pas le même enjeu. Le nucléaire est évidemment une installation critique, ce qui explique son avance par rapport aux autres
Alors la cybersecurité est elle soluble dans le monde industriel ?