Cybernouvelles du côté obscur – 4 juin 2014

Je tiens parole et ci-inclus voici le deuxième épisode de ma nouvelle chronique hebdomadaire  » cybernouvelles du côté obscur « , ou quelque chose du genre…

Aujourd’hui, le sujet principal sera la sécurité des infrastructures critiques ; en particulier les problèmes et les dangers liés à ces infrastructures : les attaques sur les installations manufacturières et nucléaires, sur les moyens de transport, les réseaux électriques, et sur les autres systèmes de contrôle des infrastructures (ICS).

Je n’aborderai pas concrètement  » l’actualité  » ; heureusement, les problèmes de sécurité ne se produisent pas sur une base hebdomadaire, du moins rien d’assez juteux pour être mentionné. L’origine de cette absence dans l’actualité réside probablement dans le fait que la majorité des événements sont maintenus secrets (ce qui est à la fois compréhensible et inquiétant),  et qu’en plus personne ne se rend compte que les attaques se produisent (elles peuvent avoir lieu dans le plus grand silence, encore plus inquiétant).

Alors, plus bas, voici une liste de plusieurs faits curieux qui décrivent bien l’état actuel des choses, les tendances en matière de sécurité des infrastructures essentielles, et quelques observations quant aux stratégies à mettre en place pour faire face à ces menaces.

Il s’avère qu’il existe un bon nombre de raisons d’être préoccupé par la sécurité des infrastructures critiques.

Si un ICS est connecté à Internet, il y a presque 100% de chances pour qu’il soit piraté le même jour.

L’objectif des ingénieurs qui fabriquent et installent des ICS est d’assurer ‘leur fonctionnement stable et constant, et c’est tout !’. Donc, s’il y a une vulnérabilité dans le contrôleur, si le système est connecté à Internet, si le mot de passe est 12345678, ils s’en moquent, même si cela permettrait à des pirates de prendre le contrôle du système ! Ils se soucient seulement du maintien de la température adéquate et du fonctionnement stable et sans heurts du système.

Après tout, la correction d’une complication, ou toute autre interférence, peut causer un arrêt du système pour un certain temps, ce qui mérite un blâme sévère pour les ingénieurs des ICS. Oui, oui, ainsi vont les choses avec les infrastructures critiques. On ne voit pas les différents tons de gris présents entre le blanc et le noir. Ou bien serait-ce que tout le monde fait l’autruche ?

En septembre dernier, nous avons mis en place un honeypot. Nous l’avons connecté à Internet et avons prétendu que c’était un système industriel en service. Le résultat ? En un mois, il a été victime de 422 intrusions.  Les cybercriminels sont allés jusqu’à atteindre les automates programmables industriels (API) internes, un des pirates a même réussi à les reprogrammer (comme dans le cas de Stuxnet). Notre expérience avec le honeypot a démontré qu’il est garanti à 100% que les ICS soient piratés aussitôt qu’ils sont connectés à Internet. Et que peut-on faire avec un ICS piraté… beaucoup, beaucoup de choses, comme dans les scénarios de films d’Hollywood. Et les ICSs ont toutes sortes de tailles et de formes. Par exemple, celui-ci :

Malware nucléaire

Source

Quelle façon novatrice de fêter le Nouvel An… Un des ordinateurs du centre de contrôle de la centrale nucléaire de Monju a été infecté par un malware aux premières heures de 2014, suite à la mise à jour d’un logiciel gratuit ! Et non, je ne plaisante pas.

Ça m’a pris un certain temps pour le digérer.

Des employés de nuit qui utilisent un logiciel gratuit sur le contrôleur d’un RÉACTEUR NUCLÉAIRE ? La mise à jour d’un lecteur vidéo gratuit pour passer à travers les longues heures du quart de travail de nuit ? Mais avant tout, pourquoi cet ordinateur était-il connecté à Internet ????

Que ce soit clair une fois pour toutes : un ordinateur industriel doit être comme un ermite, il ne doit avoir absolument aucun contact avec le monde extérieur. C’est aussi simple que cela.  Et cela s’applique aussi aux clés USB : toutes les clés qui entrent en contact avec une installation si importante doivent être examinées attentivement. N’oublions pas que Stuxnet s’est infiltré dans Natanz à l’aide d’une clé USB.

Cassandra-ism 

J’ai mentionné un des scénarios de Die Hard 4 plus tôt, c’est à la fois une absurdité hollywoodienne et en même temps un portrait réaliste de la situation. Voici un exemple qui montre ce qui pourrait nous arriver un jour…

En s’infiltrant dans les systèmes de contrôle des feux de circulation, un chercheur a voulu vérifier si c’était possible de mettre des lumières disco sur les rues des villes étasuniennes.

Le rapport du chercheur est plutôt convaincant. J’ai particulièrement apprécié les conclusions suivantes :

  •  » …ce n’était pas difficile de trouver des vulnérabilités [dans les systèmes de contrôles des feux] (en fait, c’était plus difficile de faire fonctionner correctement les feux, mais ça, c’est une autre histoire « )
  •  » J’ai même testé une attaque lancée à partir d’un drone volant à 650 pieds au-dessus des feux, et ça a fonctionné ! « 
  •  » Plus de 250 clients dans 45 états des États-Unis et 10 pays « 
  •  » Le vendeur explique que l’une des vulnérabilités a été corrigée sur les nouvelles versions de l’appareil. Par contre, les nouveaux appareils n’ont toujours pas été implantés. « 

Des bananes aromatisées à la cocaïne

Pratiquement tout est contrôlé par ordinateur de nos jours. Et s’il y a un ordinateur, il y a un risque de piratage ; et s’il est possible de pirater, un scénario comme celui de Watch Dogs devient de plus en plus plausible.

Voici un exemple de Belgique.

Encore plus inventifs, des trafiquants de drogue sud-américains ont ajouté de la cocaïne colombienne à un conteneur de marchandises transportant des bananes. Les conteneurs ont été expédiés par bateaux jusqu’en Europe et disposés dans un entrepôt à Antwerp. Ensuite, des pirates employés par les contrebandiers ont poursuivi l’opération. En utilisant un malware, ils ont réussi à entrer dans le système de contrôle de l’entrepôt pour retrouver la piste de leur précieux conteneur. Ils ont ainsi pu envoyer leurs chauffeurs pour extraire le matériel de contrebande avant que le propriétaire du conteneur ne se présente pour récupérer ses bananes.

Cet exemple démontre bien comment la narcomafia et les cybercriminels convergent, dans le domaine des systèmes industriels.

Et vous pensiez que Apple était lent dans l’application des corrections ? Avec les ICSs c’est encore pire !

Le problème de la sécurité des ICS est exacerbé non seulement par la réticence des opérateurs à interférer dans les opérations des ICS, mais aussi par les vendeurs de ICS.

Maintenant, la situation a lentement commencé à s’améliorer. Ça fait un certain temps que je ne suis pas tombé sur des développeurs qui résistent de manière éhontée, qui ne veulent pas corriger les failles évidentes dans la sécurisation de leurs produits.  Mais pour comprendre la vraie problématique, laissez-moi vous parler du cas impliquant l’entreprise RuggedCom. Cette société manufacture de l’équipement réseau pour le secteur énergétique, du matériel industriel et de transport en plus d’œuvrer dans d’autres secteurs critiques.

Et ce n’est pas un cas unique, c’est même plutôt le contraire, c’est un cas typique.

Au début 2011, un chercheur a trouvé une brèche dans l’équipement de RuggedComm qui permettait de récupérer facilement les détails des accès administrateurs. Il a révélé les vulnérabilités à RuggedCom. Pendant plus d’un an, il a demandé que les clients puissent bloquer l’accès à distance ou que les changements nécessaires soient effectués afin de corriger les failles de sécurité. Mais en vain. Ses requêtes sont restées sans réponses. Après un an, il a décidé qu’il en avait assez et il s’est adressé à US-CERT, rendant ainsi l’affaire publique.

Évidemment, avec le scandale généré par les révélations du chercheur, la vulnérabilité a été immédiatement corrigée. Et tout le monde a poussé un soupir de soulagement, le chercheur aussi d’ailleurs (bon travail !). Mais je parie qu’à peine à moitié des utilisateurs ont actuellement corrigé la faille. Ouch, tant de systèmes toujours vulnérables…

Passez le rembourrage s’il vous plait  

Pour illustrer à quel point les ICS modernes sont remplis de brèches, laissez-moi vous donner un autre exemple.

En début de matinée de l’Action de grâce, un autre chercheur, qui connaissait à peine la sécurité sur les ICS, a décidé de creuser un peu et de taquiner un logiciel d’ICS (un jour de congé, quoi de mieux pour un chercheur qu’un peu de recherche ?…). Avant même d’être rendu à la dinde, il était complètement affolé. Il avait trouvé le premier Zero-Day en sept minutes, puis 20 autres avant même la fin de la journée, plusieurs de ceux-ci permettant d’exécuter des codes à distance !

Comme l’a si bien dit un des orateurs à la SAS :  » Les ICS sont encore dans les années 90‘ « . Ces systèmes ont été conçus au siècle dernier, selon des standards du siècle dernier, mais sont encore en service aujourd’hui.

Si les choses tournent mal, et qu’on se retrouve en pleine cybertourmente, si les gouvernements se mettent à presser les cyberboutons rouges qui mettront en route le cyberchaos, c’est là que les failles des ICS seront exploitées au maximum. La partie submergée de l’iceberg émergera, la plus massive. Nous l’entendrons… non, nous la lirons. Non, dans les faits nous ne le saurons même pas, parce plus rien ne va fonctionner.

Robots *.*

Cela ne fait aucun doute que d’ici plus ou moins cinq ans des nuées de drones de toutes sortes voleront ou se promèneront tout autour de nous.

L’annonce de Amazon, l’an dernier, d’offrir un service de  livraison expresse par drones n’est pas futuriste. Elle est réelle : les drones arrivent ! Le problème sera tant légal que technique. Il faudra créer de nouvelles routes aériennes, introduire de nouvelles réglementations de vols pour les drones, distribuer des rapports à propos des conditions de vol, des licences d’utilisateurs et de fabricants, et ainsi de suite.

C’est vers ça que les choses se dirigent !…Et pas seulement dans les airs. Récemment, Google a présenté ses idées pour le développement de sa première voiture sans chauffeur (finalement le terme automobile prendra tout son sens, un siècle plus tard).

Les drones ont même fait leur chemin dans l’industrie des infrastructures critiques.

D’un côté, c’est positif, les drones automatisent plusieurs procédures déplaisantes, difficiles et non rentables. Mais d’un autre côté, toute cette automatisation pourrait un jour s’écrouler et déclencher un satané boucan. C’est à ce moment qu’il faudra sortir le pop-corn…

Oui, vous verrez la lumière !

Pour conclure, un peu de ‘romantisme’.

Depuis le début des années 2000, nous savons que les réseaux électriques sont vulnérables  aux attaques de virus, de la même façon que l’ordinateur personnel de Joe Bloggs.

Un photographe français a réalisé une curieuse série de photo appelée ‘Darkened Cities‘ qui montre ce que l’avenir pourrait avoir l’air après une attaque aux réseaux électriques. Des vues étonnantes de Hong Kong la nuit, de New York, de San Francisco, Paris, Shanghai, Sao Paulo et d’autres métropoles, toutes sans électricité. Donc, si une nuit, dans le confort de votre maison, toutes les lumières s’éteignent, ne paniquez pas. C’est peut-être seulement un virus ou l’attaque d’un pirate. Non, en fait, paniquez …

Source

Face à tout ça, les gens vont-ils se cacher sous les couvertures ou derrière le sofa, comme dans Doctor Who ? Vont-ils se diriger lentement vers le cimetière ? La situation est-elle si grave, et en voie de se dégrader encore plus ?

Oui, la situation est préoccupante, on est en équilibre précaire, tout juste au bord du gouffre, depuis plusieurs années. Les composantes clés des infrastructures critiques peuvent s’effondrer à tout moment, comme des châteaux de cartes. Heureusement, à titre d’experts de la sécurité, nous sommes ici pour vous aider :).

Mais courber l’échine et se résigner n’est pas envisageable. Je suis certain que le monde surmontera cette situation, et je crois qu’il le fera en empruntant trois différentes avenues : le développement de nouvelles générations de logiciels, le développement de nouvelles architectures plus sécuritaires pour les infrastructures critiques et le développement de standards de sécurité nationaux et globaux.

Le résultat de cette stratégie à trois volets ? Si soudainement, la lumière s’éteint, ce sera simplement à cause d’une ampoule brûlée 🙂

LIRE LES COMMENTAIRES 0
Laisser un commentaire