chungking - Fotolia
Systèmes industriels : surtout victimes de logiciels malveillants génériques
Les logiciels malveillants destinés à l’informatique de gestion paraissent se propager de manière alarmante aux systèmes opérationnels. Mais si certains en doutaient encore, les attaques ciblées sont bien réelles.
Quel est l’état de la menace pesant réellement sur les systèmes informatiques de contrôle industriel (ICS/Scada) ? C’est la question s’est posé Robert Lee, Pdg et fondateur de Dragos, un spécialiste de la sécurité des infrastructures critiques, alors que les attaques sur le réseau électrique ukrainien ou encore Stuxnet n’ont pas manqué de faire les gros titres. Fin 2013, Patrick Pailloux, alors directeur général de l’Agence nationale pour la sécurité des systèmes d’information, avait exprimé d’importantes craintes. Et la France est même allée jusqu’à légiférer pour imposer certaines pratiques de sécurité à ses opérateurs d’infrastructures critiques.
Pour répondre à ses interrogations, Robert Lee a demandé au directeur de son centre opérationnel, Ben Miller, d’enquêter. Le premier enseignement de ses recherches ne manquera pas de conforter les promoteurs d’un cadre réglementaire strict. Ben Miller a ainsi identifié rien moins que 30 000 échantillons de fichiers et installeurs ICS compromis par des composants malveillants, remontant jusqu’à 2003. Mais il s’agit là de logiciels malveillants génériques dont on imagine sans peine qu’ils ont pu se propager faute de pratiques de sécurité rigoureuses, voire même d’isolation de l’environnement industriel du système informatique de gestion. Robert Lee estime « avec prudence » qu’il faudrait compter sur 3000 sites industriels ainsi affectés chaque année.
Une surprise ? En fait non. L’an passé, des échantillons de Conficker ont été retrouvés dans une centrale nucléaire allemande, sur des machines reconditionnées en 2008 pour servir au contrôle des barres de combustible. A l’automne 2012, le RSSI de Schneider Electric indiquait, lors des Assises de la Sécurité, avoir découvert, à l’occasion du déploiement d’un système de gestion des informations et des événements de sécurité (SIEM), plus de 200 machines internes infectées par des logiciels malveillants, dont Conficker.
En octobre 2015, Lexsi tirait la sonnette d’alarme sur la sécurité des systèmes industriels, les fameux Scada. Il soulignait en particulier l’absence d’antivirus actif et à jour sur les postes de travail et serveurs isolés, déconnectés d’Internet, du fait de l’illusion de sécurité que produit cet isolement… mais « qui a engendré, pour 50 % des cas, la présence du ver Conficker sur des postes de supervision industrielle ».
Les attaques ciblant spécifiquement les systèmes industriels sont considérablement moins fréquentes, mais pourtant pas si rares, selon Robert Lee. Il relève bien sûr que le nombre de logiciels malveillants connus dédiés aux systèmes Scada est plus que limité : Stuxnet, Havex, et BlackEnergy. L’enquête de Ben Miller a tout de même permis une dizaine d’opérations véritablement ciblées, dont une particulièrement remarquable, basée sur un logiciel malveillant cherchant à se faire passer pour un logiciel légitime destiné aux contrôleurs programmables (PLC) Siemens. Cette opération serait en cours depuis 4 ans.
Mais Robert Lee souligne un point de vulnérabilité : la méconnaissance des équipes et des outils de sécurité IT des environnements ICS/Scada. Celle-ci peut conduire des composants logiciels tout ce qu’il y a de légitimes à être marqués comme malveillants, par erreur, et placés dans des bases de données publiques. De quoi permettre à des attaquants d’y accéder aisément pour mieux les étudier. Le fondateur de Dragos recommande alors aux responsables de systèmes ICS/Scada d’établir un dialogue plus étroit avec les équipes de sécurité IT.