octobre 12, 2015
Nouvelles cybernétiques : centrales nucléaires vulnérables et… contrôle des cyberattaques ?
Vous trouverez dans cet article un petit résumé et quelques commentaires sur des « nouvelles », enfin plutôt sur des mises à jour, à propos d’un sujet qui est au cœur des discussions depuis des années ! Je déteste dire « je vous avais prévenus » mais….. Je vous avais prévenus !
Photo (prise au hasard) de la centrale nucléaire de Cattenom en France. J’espère qu’ici, tout va bien du côté de la cybersécurité.
Premièrement
Ça fait plus de 15 ans que je me bats pour que les gens se rendent compte des risques de cybersécurité dans les milieux de l’industrie et de l’infrastructure. Récemment, beaucoup de personnes en parlent dans le monde, que ce soit les gouvernements, les instituts de recherche, les médias ou la population en général. Néanmoins, à mon grand regret, malgré toutes les paroles, il n’y a pas de progrès concret, étant donné qu’aucune mesure (physique, juridique, diplomatique ou autre) n’a été prise à ce sujet. Voici un exemple pour appuyer mes dires.
Plus tôt cette semaine, Chatham House, le laboratoire d’idées britannique qui a beaucoup d’influence, a publié un rapport intitulé : « Comprendre les risques de la cybersécurité dans les centrales nucléaires civiles ». En effet, rien que le titre vous donne la chair de poule, et si vous lisez certains des arguments invoqués… c’est encore pire !
Je n’entrerai pas dans les détails, vous pouvez lire le rapport vous-même si vous avez du temps à perdre. Je dirai juste que les principaux éléments de ce rapport concernent le risque croissant à l’échelle mondiale d’une cyberattaque visant les centrales nucléaires. Oh là là !
Le rapport se fonde exclusivement sur des interviews d’experts, ce qui signifie qu’aucune preuve concrète n’a été utilisée. Hum. C’est un peu comme si quelqu’un essayait d’expliquer un film érotique, ce n’est pas la même chose que de le voir. Toutefois, je pense que l’on devait s’y attendre : après tout, il s’agit d’un secteur très secret dans le monde.
Tout de même, je vais vous décrire ce rapport tel que je l’ai lu. Du moins, je vais vous communiquer les principales conclusions, lesquelles, comme vous pouvez l’imaginer, sont très alarmantes :
- Une isolation physique du réseau informatique des centrales nucléaires n’existe pas : c’est un mythe (note : cette conclusion est fondée sur les centrales qui ont été examinées, ce qui signifie qu’il n’y a rien de concret). Les Britanniques se sont aperçus que les connections VPN sont souvent utilisées (la plupart du temps, par des contractuels) dans les centrales nucléaires. Elles sont souvent non documentées (pas déclarées officiellement), et sont parfois oubliées, tandis qu’elles sont toujours en vie et prêtes à être utilisées (de manière malveillante).
- Une longue liste de systèmes industriels connectés à Internet peut être trouvée en ligne via les moteurs de recherche comme Shodan.
- À l’endroit où l’isolation physique peut exister, elle peut facilement être contournée par des clés USB (comme pour Stuxnet).
- N’importe où dans le monde, l’industrie de l’énergie atomique est loin de vouloir partager ses informations sur des incidents cybernétiques. Il est donc difficile de comprendre la situation de la sécurité. De plus, l’industrie collabore avec peu d’autres secteurs, ce qui veut dire qu’elle ne bénéficie pas d’autres expériences ou savoir-faire.
- Afin de réduire les coûts, les softwares commerciaux (vulnérables) normaux sont de plus en plus utilisés dans l’industrie.
- La sécurité de nombreux systèmes de contrôle industriels n’a pas été prise en compte au moment de la conception. De plus, il est très difficile de les corriger sans interrompre les processus qu’ils contrôlent.
- Et il y a encore plus de choses à lire dans le rapport complet de 53 pages.
Tous ces faits et détails effrayants n’ont rien de nouveau pour les spécialistes en sécurité informatique. Cependant, espérons que d’autres publications d’institutions aussi influentes que celle-ci commenceront à produire des changements. Maintenant, le plus important est que le software en question soit corrigé le plus tôt possible et que, en général, la sécurité informatique industrielle soit renforcée afin d’atteindre un niveau plus sûr, avant qu’une catastrophe n’ait lieu, et non après.
Entre autres, le rapport recommande de promouvoir « la sécurité au moment de la conception » des systèmes de contrôle industriels. Bravo ! Nous sommes totalement d’accord avec cette idée ! Notre système d’exploitation sécurisé est aussi une initiative de ce genre. Une révision des principes de la cybersécurité en soi est indispensable afin de concevoir des systèmes de contrôle industriels impénétrables, y compris SCADA. Malheureusement, il y a encore beaucoup de chemin à faire et nous ne sommes qu’au début. Nous savons au moins dans quelle direction avancer. Il ne reste plus qu’à le faire, petit à petit…
Deuxièmement
Pendant plusieurs années, je me suis aussi battu pour l’élaboration d’un accord mondial contre la cyberguerre. Bien que nous ayons une meilleure compréhension de la logique d’un tel accord depuis toutes les perspectives (académique, diplomatique, gouvernementale, internationale, etc.), nous n’observons qu’un maigre progrès vers un accord concret, tout comme avec la sécurité dans les systèmes industriels. Toutefois, le contrôle du cyberespionnage et de la cyberguerre se trouve au moins sur l’agenda.
Photo : Michael Reynolds/EPA. Source
Par exemple, fin septembre, Barack Obama et Xi Jinping ont convenu que leurs pays (les deux plus grandes économies du monde) arrêteront de recourir mutuellement au cyberespionnage commercial. De plus, la cybersécurité était le sujet dominant de leur conférence de presse commune (ainsi que les mesures prises pour ralentir les changements climatiques). Curieusement, le problème épineux du cyberespionnage politique et militaire n’a pas du tout été soulevé !
Donc, est-ce que ça représente une avancée ? Bien sûr que non.
Toutefois, un premier pas a été fait dans la bonne direction. Il y a aussi eu des rumeurs selon lesquelles Pékin et Washington auraient organisé des négociations sur un possible accord interdisant les attaques dans l’espace cybernétique. Au cours du rendez-vous des leaders en septembre, ce sujet n’a pas été évoqué, mais espérons qu’il le sera dans peu de temps. Ce serait une étape importante et symbolique.
Evidemment, à l’avenir, l’idéal serait que de tels accords soient signés par tous les pays du monde ; ainsi, la possibilité d’une « démilitarisation » d’Internet et de l’espace cybernétique deviendrait un peu plus réelle. Oui, ce serait le meilleur scénario, mais pour le moment, ce n’est pas le plus réaliste. Il faut donc falloir continuer de se battre.