Andrei Merkulov - stock.adobe.co

Nouvel avis de gros temps sur les systèmes de contrôle industriel

Des éléments convergents et en nombre croissant font ressortir une menace toujours plus importante sur les ICS, notamment dans les secteurs de l’énergie. Et si la maturité progresse, elle n’est pas forcément encore assez élevée.

Les utilités américaines sont dans les collimateurs de cyberdélinquants. C’est du moins l’observation faite par Proofpoint. Dans un billet de blog, l’éditeur explique qu’entre « le 19 et le 25 juillet, de nombreux e-mails de phishing ont été identifiés visant trois entreprises américaines du secteur des utilités ». Ces courriels d’hameçonnage n’étaient pas anodins : ils embarquaient « une pièce jointe Microsoft Word malicieuse qui utilise des macros pour installer et exécuter un maliciel que les chercheurs de Proofpoint ont surnommé LookBack ». Celui-ci n’est autre qu’un cheval de Troie doté d’un mécanisme de proxy pour assurer des communications avec des serveurs de commande et de contrôle. Pour les chercheurs de Proofpoint, « ceci pourrait être le travail d’un acteur APT soutenu par un État ». Mais ce pourrait bien n’être qu’un exemple parmi d’autres.

Récemment, Dragos relevait que le groupe Xenotime, soupçonné d’être lié à la Russie, et à l’origine du redoutable maliciel Trisis/Triton, était désormais actif bien au-delà du Moyen-Orient : « nous les avons observés commencer à viser (en reconnaissance) des utilités américaines de l’énergie ». Et le dernier rapport de ce spécialiste de la sécurité des systèmes industriels (ICS) n’est guère plus rassurant.

Pour Dragos, le risque sur les systèmes industriels des entreprises pétrolières et gazières est élevé et s’inscrit à la hausse. Le spécialiste relève notamment que les assaillants améliorent continuellement leurs capacités offensives. Et pour ne rien gâcher, leur nombre ne diminue pas : Dragos indique avoir récemment découvert un nouveau groupe visant les ICS, portant leur nombre à 9, dont 5 se concentrant spécifiquement sur les industries pétrolière et gazière. Et il n’y a pas de doute : certains États sont là à la manœuvre, pour atteindre leurs objectifs politiques, économiques, ou de sécurité nationale. En outre, plus que des acteurs des secteurs concernés, c’est toute leur chaîne logistique qui peut être visée.

Plus loin, pour Dragos, « les cyberattaques sont un moyen de plus en plus important pour projeter une puissance dans le domaine de l’énergie. Les secteurs traditionnels du pétrole, du gaz naturel, et de l’électricité, notamment, ne peuvent plus être appréhendés comme des domaines dissociés à protéger, mais plutôt comme une unique infrastructure interconnectée ».

Le nouveau groupe identifié par Dragos tend à illustrer cette tendance. Baptisé Hexane, il vise les sociétés pétrolières et gazières au Moyen-Orient, mais pas directement : il se concentre pour l’heure sur leurs fournisseurs de services de télécommunications, positionnant ce qui pourrait servir de tremplin à des attaques par interposition, ou man-in-the-middle.

Le groupe Hexane apparaît opérationnel depuis au moins la mi-2018, mais ses activités semblent s’être accélérées dans le courant du premier semestre 2019. Pour Dragos, ce calendrier et la définition des cibles coïncident avec l’escalade des tensions politiques au Moyen-Orient. Toutefois, pour l’heure, le spécialiste de la sécurité des systèmes industriels évalue avec une « confiance modérée » qu’Hexane n’est pas actuellement en mesure d’accéder à des réseaux ICS, ou d’en perturber.

La bonne nouvelle est que la perception du risque apparaît en phase avec ces observations. L’édition 2019 du sondage de l’institut Sans sur la sécurité des ICS, présentée en juin, fait ainsi ressortir près de 39 % de sondés estimant que le risque sur leurs systèmes industriels est perçu comme élevé. La menace externe liée à des États ou des hacktivistes arrive en première position pour 15,3 % des sondés. Ce qui revient à la placer en seconde position des préoccupations, tout juste derrière les risques induits par les objets connectés au réseau incapables de se protéger eux-mêmes mentionnés par 21,1 % des sondés comme principale menace.

D’ailleurs, les sondés ne manquent pas de reconnaître avoir connu des incidents au cours des 12 mois passés – majoritairement entre 1 et 10. Le fait de pirates isolés selon près de 45 % des sondés, mais d’États-nations pour près de 28 %, et de criminels organisés pour 24 %. Mais l’on relèvera comme toujours que l’attribution n’est pas un exercice aisé.

Reste que les auteurs de l’étude de l’institut Sans ne manquent pas d’être surpris par certains résultats du sondage. Ainsi, ils soulignent le niveau relativement bas de préoccupation vis-à-vis des opérations d’hameçonnage, alors même « que l’on continue de recueillir des preuves indiquant que cette tactique reste privilégiée pour établir un premier point de compromission et d’entrée dans beaucoup de systèmes de contrôle industriel ».

Autre bonne nouvelle, toutefois, la maturité apparaît clairement progresser. La part de sondés indiquant qu’il leur faut plus d’un mois à identifier une compromission recule significativement dans cette édition 2019 de l’étude, par rapport à celle de 2017, tandis que progresse celle des sondés assurant pouvoir détecter un tel incident en moins d’une semaine. Et accessoirement, près de 54 % des sondés estiment pouvoir contenir une compromission détectée en moins de 24 h.

Mais pour les auteurs du rapport du Sans, il y a encore du chemin à parcourir, car ces délais restent élevés et « peuvent avoir des effets en cascade rapides, compte tenu des caractéristiques temps réel des ICS dans le domaine de l’informatique opérationnelle ».

Pour approfondir sur Cyberdéfense