Spécial sécurité : Scadas / Tentation totalitaire / Patch Tuesday façon Adobe
Régulièrement, nous ouvrons nos colonnes à CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information. Aujourd'hui, nos confrères se penchent sur les menaces qui pèsent de plus en plus - ou sont amenées à le faire - sur les éléments informatisés de commande d'insfrastructures industrielles, les Scada, et les réactions qu'elles suscitent. Plus loin, CNIS Mag revient sur la politique de mise à jour d'Adobe.
Sommaire:
- 1 - Escalade Scada ou scandale esquissé ? (1ère partie)
- 2 - Escalade Scada : la tentation totalitaire (suite)
- 3 - Adobe adopte aussi le "Patch Tuesday"... mais tous les trois mois
1 - Escalade Scada ou scandale esquissé ? (première partie)
Sur les mailing list Françaises consacrées à la sécurité, sur le très sérieux blog de l’Avert Lab,, mais également sur mille et un blogs d’amateurs l’on se passe et repasse cette séquence vidéo postée sur Youtube. Séquence très travaillée montrant un couple de prétendus « hackers » détournant le système d’éclairage d’un IGH (immeuble de grande hauteur) dans le but de le transformer en un formidable jeu de « space invader »
Disons-le tout net, cette séquence vidéo a quelques origines plausibles, puisque l’Université de Rhodes Island avait, en 2006, fabriqué de toutes pièces un Tetris de 12 étages de haut. C’était là le fruit de près de 5 mois de travail pour une dizaine de personnes et d’une base matérielle non négligeable : un ordinateur sous Linux pour piloter le tout, mais également plusieurs centaines de guirlandes de noël (10 000 photophores au total) posées devant les vitres de la tour, le tout amoureusement relié à grand renfort de centaines de mètres de câbles électriques et Ethernet, de points de soudures et de circuits de commande. On est loin, très loin, d’un « hack improvisé » réalisé en quelques minutes. Ajoutons en outre que les immeubles dont l’éclairage « par plateau » est centralisé utilisent généralement des systèmes utilisant des tubes à décharge (néon, pour les intimes) dont les temps de mise en fonctionnement sont trop lents pour assurer un quelconque « coulé » d’animation tel que le montre la vidéo « space invader ». Enfin, les consoles de commande centralisées des immeubles industriels sont pratiquement toutes situées dans des locaux totalement fermés, souvent protégés par des portes métalliques, conditions très peu propices à une télécommande par liaison WiFi comme semble le laisser supposer cette vidéo trop bien coulée et trop bien « floutée –mal –cadrée » pour être honnête.
Ce qui, en revanche, était totalement inattendu, c’est que l’équipe de l’Avert de McAfee en vienne à utiliser ce prétexte pour en tirer immédiatement une conclusion philosophique plus générale sur la sécurité des infrastructures Scada. Et ce, sous le prétexte douteux que « fake or not, the video confirms that hackers and cybercriminals have got their eyes on SCADA networks ». Et d’illustrer ce propos par le fait que les réseaux IP, reposant sur des systèmes peu fiables (Windows) et parfois même connectés, directement ou indirectement à Internet, s’insinuent dans les endroits même où ils étaient interdits il n’y a pas 5 ans. Dans les principaux centres de distribution d’énergie ou des eaux, dans les centrales nucléaires, le monstre Internet s’insinue de partout, et les terroristes n’attendent que çà pour perpétrer leurs actes répréhensibles. Lorsqu’on possède un marteau, l’on a tendance à vouloir réduire le moindre problème sous la forme d’un clou.
Les mécanismes de cette déformation quasi professionnelle qui tente souvent les spécialistes de la sécurité a été démontrée par un certain Hoffman (2 « f » 1 seul « n », de nationalité Américaine), Abbott de son prénom. Hoffman était un activiste des années 68 qui a plus d’une fois menacé de s’attaquer aux infrastructures Scada et… aux institutions. En lançant, par exemple, une nuée de faux billets depuis les balcons de la salle des marchés du NYSE –provoquant ainsi une sérieuse frénésie du côté des traders, qui pensaient plus à s’enrichir en se baissant plutôt qu’à enrichir leurs clients. Hoffman fut également l’homme à qui l’on attribue le projet de verser du LSD dans le réservoir d’eau potable de Chicago à l’occasion de la convention Démocrate de 1968 (une rumeur semblable couru à San Francisco). La conséquence première fut une formidable mobilisation des forces de police qui durent surveiller les installations jour et nuit… jusqu’à ce que lassitude s’en suive. L’attentat au LSD a coûté cher à Chicago, et c’était bien là le but recherché : mobiliser l’attention de l’ennemi sans bourse délier, sans risquer non plus le moindre affrontement ou la plus petite poursuite légale.
Si les doctes policiers de la Windy City avait eu deux onces de culture, ils auraient appris que l’inventeur du LSD, un certain Albert Hofmann (un « f » et deux « n », citoyen Helvétique) avait depuis fort longtemps prouvé que l’instabilité de sa drogue était telle qu’il était impossible de contaminer l’eau d’un réservoir. ( à suivre)
2 - Escalade Scada, la tentation totalitaire (suite)
Tout comme les hordes de pirates qui menacent l’avenir de la culture et l’Art, le prétexte de la menace Scada est trop séduisant, l’efficacité de la rumeur trop importante pour qu’elle ne serve pas de catalyseur. A force de crier au loup et au risque Scada, certains experts pourraient bien provoquer des réactions des politiques totalement disproportionnées par rapport à l’analyse de risque. En attendant les détails de la Loppsi (ou Lopsi2) en France, voici les promesses de la CyberSecurity Bill aux Etats-Unis. Internet est devenu un tel lieu de perdition qu’un projet de loi US vise à donner à la Présidence la possibilité de « fermer Internet » en cas de péril national, et de sanctionner par une « licence » la pratique du métier de cyber-expert en sécurité. Un Ordre National des Gourous du Hack en quelques sortes, assimilable à celui des Avocats ou des Docteurs en médecine. Une analyse passionnante qui nous est offerte par Joe Stewart de SecureWorks.
L’idée même d’un centre de contrôle national centralisé capable de gérer tous les indicateurs d’une « cybermenace » relève un peu de l’utopie, fait remarquer l’auteur. Une utopie qui est d’ailleurs fort bien décortiquée au fil d’un tête à tête opposant Bruce Schneier et Markus Ranum, confrontation organisée par nos confrères de Security News. Chaque département, chaque secteur particulier doit posséder ses propres experts, rompus aux difficultés intrinsèques de son milieu. Le DoD se charge de la sécurité des armées, le FBI de la défense intérieure, et ainsi de suite. Ce qui ne contredit pas l’idée d’une sorte de cellule de crise unique fédérant les avis, chère à Ranum. Mais en aucun cas un modèle « top down » ne peut fonctionner. Un censeur central, un « manitou » de la cybersécurité –une chimère que poursuivent d’ailleurs tous les gouvernements occidentaux à tendance atlantiste- est un non-sens absolu, une folle prétention de tout connaître, un espoir vain de voir appliquer une sorte de « solution-décision radicale et unique » pour parer une menace qui serait évidente et aisément cernée. Une chose est certaine : quelque soit le pays, quelque soit la tendance politique, quelque soit la structure gouvernementale -des plus totalitaristes aux démocraties se réclamant d’un libéralisme éclairé- la mode est au contrôle et à l’écoute permanente des médias numériques. Que la chose soit techniquement envisageable ou non, que ces menaces poussent ou non les usagers à utiliser des mesures de contournement dignes des grandes heures de la résistance des maquis de 44, Internet pousse les politiques à verrouiller Internet sans même chercher à comprendre ni son utilité, ni les principes qui le régissent. Ceci en vertu du principe qui dit « celui qui peut détruire ou interdire l’accès à une richesse en détient le contrôle absolu ». Internet est paradoxalement une infrastructure Scada qui représente donc un danger pour les autres infrastructures Scada.
Reste le second point du projet de loi « Cybersecurity Bill » : la tentation de « l’ordre des CISO ». L’idée n’est en soit pas très révolutionnaire, et plus ou moins inscrite génétiquement dans les réactions des entreprises et des administrations. Car cette « licence » cybersécurité existe dans les faits : CISSP, SANS GCIA, MCSE, CCSA, CCSE, CSA, CCNA, CNA, Iso lead auditor … tout çà vaut bien une « équivalence » de permis de conduire un audit officiellement, après tout. Reste qu’un expert n’est généralement expert que dans un domaine précis. Et s’il en est lui-même très souvent conscient, ce n’est pas nécessairement le cas de ses clients, qui voient en lui un sauveur, un savant digne des grands maîtres de l’Universalisme, une réponse imparable à tous les problèmes. En bref, un antivirus ou un firewall fait homme.
Il suffit d’assister à quelques-unes des grandes conférences consacrées à la sécurité pour se rendre compte que le diplôme ne fait pas la science, et que les découvertes les plus importantes –ou les expertises les plus solides- sont parfois l’œuvre de gens qui n’ont cure des diplômes. Un Luigi Auriema, un Matthieu Suiche, un Paul (de GreyHat) sont les preuves vivantes de l’ineptie de cette course à l’expertise diplômée. Un cursus cadré est sans le moindre doute la preuve d’une connaissance acquise, mais édicter cette connaissance au niveau d’une « charge » professionnelle, avec patente et pas de porte serait le meilleur moyen de tuer la spontanéité de la profession. Et par là même son efficacité.
3 - Adobe adopte aussi le « patch Tuesday »… mais tous les trois mois
Chi va piano va sano. Jusqu’à présent, Adobe essuyait le feu des critiques en raison d’une politique de correction de faille pour le moins… nonchalante. Une situation qui ne pouvait plus perdurer, compte tenu du nombre croissant de « failles Adobe » et « d’exploits Acrobat » révélés par poignées pratiquement chaque mois. Un phénomène d’autant plus dangereux que ce composant, extérieur à Windows ou à OS/X, n’est pas pris en compte par le processus de correction de noyau des principaux éditeurs, Microsoft et Apple.
L’équipe de sécurité d’Adobe vient donc d’annoncer quasi officiellement que désormais, rendez-vous sera pris tous les trois mois, à l’image du Patch Tuesday Microsoftien. Une réponse faite dans l’unique but de donner un semblant d’organisation et de rigorisme à un processus de traitement des défauts logiciels, et essentiellement destiné à rassurer les départements sécurité des grandes entreprises. L’expérience Microsoft et Oracle, les deux principaux inventeurs du jour des rustines, a eu deux conséquences que l’équipe d’Adobe semble vouloir ignorer. En premier lieu, les « découvreurs »de failles ont un malin plaisir à publier leurs exploits la semaine ou le jour précédant le rendez-vous des bouche-trous. Ce qui ouvre une fenêtre de vulnérabilité de plus d’un mois dans le meilleur des cas. En outre -l’inoubliable expérience Conficker n’a fait que confirmer le phénomène- cette régularité de publication conforte les grandes structures à respecter un calendrier très protocolaire… et qu’importe la dangerosité d’une éventuelle exploitation. Le « patch » sera déployé et appliqué dans le mois suivant son mois de publication (afin de tenir compte des tests de régression officiellement déclarés), mais pas avant. Ce dogmatisme de la publication programmée, cette attitude régulière qui tente, en vain, de s’opposer aux pratiques précisément stochastiques des auteurs de malwares, est à l’image d’une armée régulière tentant de contrer, avec les moyens et les méthodes d’une armée régulière, les actions d’une guerre de guérilla. Adobe, en promettant une politique plus rigoureuse, a décidé d’aller dans la bonne direction… mais pas nécessairement avec les meilleurs moyens.