jirikaderabek - Fotolia
Un ver conçu pour les automates programmables industriels
Des chercheurs en sécurité ont récemment présenté ce qui s’apparente au premier ver visant spécifiquement les automates programmables industriels, ou PLC, et n’ayant pas besoin d’autre support pour exister et se propager.
Trois experts ont profité de l’édition asiatique de la conférence BlackHat, fin mars dernier, pour dévoiler un tout nouveau type de ver : baptisé PLC-Blaster, il analyse puis compromet les automatiques programmables industriels (PLC) Siemens Simatic S7-1200 version 1 à 3 « sans le moindre support externe ». Autrement dit : le ver est autonome et ne « vit » que sur le PLC.
Dans un rapport de présentation, Ralf Spenneberg, Maik Brüggemann et Hendrik Schwarke, expliquent que leur ver « analyse le réseau à la recherche de nouvelles cibles, attaque ces cibles, et se reproduit sur les cibles trouvées. Le principal programme s’exécutant sur la cible n’est pas modifié ».
Comme ils le soulignent, l’efficacité des attaques informatiques classiques sur les systèmes de contrôle industriel n’est plus à démontrer ; Stuxnet s’en est chargé. « Le ver s’est propagé sur les PC de l’usine d’enrichissement d’uranium en exploitant des vulnérabilités au sein du système d’exploitation Windows. Le logiciel des PLC a été modifié de manière à ce que les centrifugeuses utilisées pour le processus d’enrichissement soient détruites ».
Avec Stuxnet, le point d’entrée et le support de propagation étaient le PC. Avec PLC-Blaster, il s’agit de sauter une barrière : « aucun PC n’est nécessaire ; le ver peut être introduit dans l’usine en utilisant un PLC manipulé préalablement ». Une menace d’une dimension toute nouvelle pour les environnements industriels : « le PLC est l’origine de l’attaque et pas seulement la cible. Des PLC infectés peuvent être distribués par un fournisseur de composants industriels ou durant le transport d’un tel composant ».
L’absence de PC dans la boucle de propagation préviendra en outre la détection par un système de protection des points de terminaison classique. Rien ne dit en outre que la vérification des automates, un par un, permettrait de détecter un ver qui n’affecte pas leur fonctionnement nominal. Dès lors, pour les auteurs, « l’opérateur de l’usine dispose de très peu d’options pour détecter le logiciel malveillant sur les PLC ».
A titre prévention, une protection en écriture peut être activée sur les automates Siemens étudiés. Celle-ci doit permettre d’empêcher la propagation d’un tel ver. Mais par défaut, elle est désactivée. Dans une note d’information à ses clients, Siemens recommande de l’activer.