Tribune : des infrastructures industrielles de plus en plus vulnérables
A la suite de notre couverture du Forum International de la Cybercriminalité, qui se déroulait ce mardi 24 mars 2009 à Lille, Leif Kremkow, directeur technique de Qualys France, nous a soumis cette tribune relative à la sécurité - ou plutôt à la vulnérabilité - des infrastructures industrielles automatisées et télégérées via des Scada, infrastructures fondamentales s'il en est puisqu'elles concernent par exemple la distribution et la production de fluides et de services essentiels : eau, gaz, chimie, électricité, etc. Son constat n'est guère optimiste.
Il n’y a pas si longtemps, le concept de sécurité des systèmes SCADA (Supervisory Control And Data Acquisition ou Système d’acquisition et de contrôle des données) semblait n’intéresser que les personnes chargées des systèmes de commande industriels complexes, notamment les stations de traitement des eaux usées et les centrales énergétiques, ce qui, d’une certaine manière, est toujours vrai. Mais pour ceux qui ont assisté au sommet 2009 sur le contrôle des processus et SCADA organisé par le SANS Institute, il est désormais évident que la convergence de la sécurité informatique et de la sécurité physique est en train de s’accélérer.
En effet, de plus en plus de systèmes informatiques gèrent des systèmes physiques, et ce ne sont plus seulement des services publics et l’infrastructure critique qui sont administrés par des systèmes SCADA. Actuellement, des industries plus traditionnelles, telles que la production, adoptent des systèmes SCADA tandis que les secteurs de la santé, et bien d’autres encore, utilisent déjà ou utiliseront la télématique pour administrer tous les types d’équipements à distance. Dans les mois et les années à venir, la sécurité des systèmes de contrôle physique fera également partie des attributions du directeur de la sécurité informatique.
Aujourd’hui, de nombreux experts débattent sur la véritable vulnérabilité de l’infrastructure critique des États-Unis face aux attaques numériques. Ils évoquent souvent la spécialisation des systèmes SCADA, ou le faible nombre d’attaques SCADA réussies, qui ont été rapportées. Néanmoins, la sécurité des applications n’était-elle pas une spécialité en 1999 ? Et combien d’attaques contre des applications Web faisaient la Une à l’époque ? Pas beaucoup, mais ces attaques font désormais partie de l’actualité quasi quotidienne.
Après avoir approfondi le sujet, je suis persuadé d’une chose : de nombreux systèmes SCADA sont vulnérables de manière inhérente. En effet, d’une part, ces systèmes n’ont jamais été conçus en tenant compte de la sécurité réseau et, d’autre part, ils sont de plus en plus connectés à Internet. Ce qui n’est pas particulièrement réjouissant.
En fait, les équipements SCADA sont de plus en plus vulnérables aux mêmes vulnérabilités logicielles que celles qui ont ravagé les systèmes et les applications informatiques des années durant. Le mois dernier encore, la société parisienne Areva a averti ses clients qu’une importante partie de son système de gestion de l’énergie était devenue vulnérable après la découverte de failles logicielles dans plusieurs versions (5.5, 5.6, 5.7) de sa solution e-terrahabitat. Comme l’avait averti l’équipe américaine de préparation aux situations d’urgence informatique (US Computer Emergency Readiness Team - US CERT), un certain nombre de vulnérabilités par débordement de la mémoire tampon, et par déni de service, ont rendu les versions 5.5, 5.6 and 5.7 de e-terrahabitat potentiellement falsifiables. Les clients qui utilisaient des versions plus anciennes ont également dû procéder à une mise à niveau.
“ Armé des privilèges du compte e-terrahabitat ou d’un compte administrateur, un pirate non authentifié peut accéder au système et exécuter des commandes arbitraires ou bien provoquer la panne d’un système vulnérable, ” précisait la note de vulnérabilité VU#337569 du CERT. Cette note invitait les utilisateurs à appliquer immédiatement le patch.
Cette invitation vaut également pour toute vulnérabilité affectant aujourd’hui les applications et les systèmes d’exploitation. Cependant, les systèmes SCADA n’affectent pas seulement les données, mais aussi l’eau, les eaux usées, les produits chimiques et, dans le cas d’AREVA, l’énergie.
Dans le cadre du programme de tests SCADA du Département américain de l’énergie, l’Idaho National Laboratory a évalué de nombreux systèmes SCADA, et découvert plusieurs classes de vulnérabilités qui affectent de manière sensible la sécurité de ces systèmes, à savoir : des lacunes au niveau de la gestion des modifications, des services couramment non chiffrés au sein de systèmes informatiques, des certificats utilisateur faiblement sécurisés, des fuites d’information via des protocoles de communication propriétaires non chiffrés, etc.
La découverte de ces types de vulnérabilité n’a rien de rassurant.
En théorie, les systèmes SCADA ne devraient pas être exposés sur Internet, mais en réalité, ils sont de plus en plus connectés à des réseaux IP. Pour la plupart des activités, les systèmes SCADA devraient être complètement séparés des réseaux de données, ce qui réduirait considérablement les risques d’attaque. Cependant, toujours plus d’installations utilisent l’infrastructure SCADA pour administrer leurs systèmes à distance, voire pour connecter les systèmes à un réseau d’entreprise interfacé avec Internet afin de collecter et d’analyser les données. Plus cette tendance se développera, plus les systèmes SCADA devront être traités comme n’importe quel autre équipement en réseau. Ils devront donc être identifiés, inventoriés puis analysés pour y rechercher les vulnérabilités.
Pour en savoir plus sur la sécurité SCADA, le Département américain de l’énergie a publié des informations plus détaillée sur le programme national de tests SCADA (National SCADA Test Bed) du Centre chargé de la sécurité SCADA ainsi que d’autres ressources. Je pense que dans un avenir proche, nous serons de plus en plus nombreux à devoir nous pencher davantage sur les moyens à déployer pour renforcer ces systèmes.