La LPM ou « Loi n° 2013-1168 du 18 décembre 2013 relative à la programmation militaire pour les années 2014 à 2019 et portant diverses dispositions concernant la défense et la sécurité nationale » a donc été promulguée en décembre dernier.
Cette loi contient de nombreux articles qui dépassent le cadre de ce billet ; nous allons nous concentrer sur le chapitre IV et les articles 21 à 25 qui détaillent les dispositions relatives à la « Protection des infrastructures vitales contre la cybermenace ».
Depuis l’attaque Stuxnet en 2010, les publications de failles et d’outils offensifs ciblant les « composants SCADA » se sont multipliées.
Par ailleurs, de nombreux systèmes sont exposés et accessibles directement sur Internet et peuvent être détectés au moyen de simples requêtes dans un moteur de recherche.
Concrètement : il peut suffire de quelques clics de souris pour accéder à des fonctions de pilotage et perturber significativement le comportement d’un site industriel. Exemple : un système de régulation de chauffage accessible en ligne avec login et mot de passe par défaut.
Le cocktail est simple et potentiellement explosif :
- Des centaines d’automates et autres composants industriels « SCADA » sont en production avec des configurations et mots de passe par défaut.
- Ces équipements sont fréquemment connectés sur Internet afin d’en faciliter l’exploitation et l’administration à distance.
- Même s’ils ne sont pas reliés à Internet, ces automates communiquent de plus en plus via le protocole TCP-IP et les variantes industrielles non sécurisées (industrial ethernet, modbus-tcp, profinet, DNP3) ; ils sont donc a minima exposés sur le réseau local.
- Réseau informatique bureautique et réseau industriel sont rarement parfaitement étanches ; il est possible qu’un virus ou un pirate puisse passer du SI de gestion au SI industriel. Les audits menés par LEXSI depuis plusieurs années l’ont amplement démontré.
- Il existe aujourd’hui une multitude de travaux de recherche, de publications, de démonstrations sur la faiblesse de ces systèmes ; de nombreux outils offensifs sont disponibles sur Internet.
- Les systèmes exposés sur Internet sont indexés par des moteurs de recherche spécifiques comme Shodan, ou par des moteurs génériques tels que Google ou Yahoo, ce qui les rend facilement identifiables et accessibles pour une personne malintentionnée.
- Les constructeurs et éditeurs de logiciels et matériels industriels mettent à disposition sur leur site Internet les documentations détaillées (dans lesquelles les mots de passe par défaut sont souvent mentionnés), et les firmwares que les chercheurs et les pirates s’empressent d’analyser pour y trouver des portes dérobées, soit pour les publier, soit pour les exploiter.
Au vu des éléments précédents, on aura compris qu’il ne faut pas être un grand hacker pour identifier des systèmes vulnérables et en prendre le contrôle. En revanche, les difficultés apparaissent rapidement lorsque l’entreprise prend conscience du problème et souhaite y remédier. Facteur aggravant : elle a bien souvent peu de ressource humaine et financière à accorder à cette problématique.
Nous avions proposé dans un précédent billet une approche pragmatique pour initier un projet de sécurisation des systèmes industriels. Aujourd’hui de nouveaux outils existent et permettent aux OIV comme aux « OI N V » (opérateurs d’importance non vitale !) de s’organiser pour rattraper le retard en matière de sécurité des systèmes informatiques industriels. Lire la suite de l'article...
Auteur : Thomas Houdy, Directeur Innovation au sein du cabinet LEXSI.
Continuer avec Linkedin