Fotolia

Applications mobiles, Meltdown, Spectre… de nouvelles menaces sur les ICS/Scada

IOActive a identifié plus d’une centaine de vulnérabilités dans une trentaine d’applications pour systèmes de contrôle industriels. Parallèlement, le Cert-US alerte sur le fait que ceux-ci sont aussi sujets à Meltdown et Spectre.

Il n’y a pas qu’une exposition en ligne non maîtrisée qui soit susceptible de pouvoir conduire à une compromission de systèmes informatiques de contrôle industriel (ICS/Scada), ni même qu’un accès physique à des postes de contrôle : il faut aussi compter avec les applications mobiles spécialisées.

Des chercheurs d’IOActive et d’Embedi se sont penchés sur le sujet, examinant des applications choisies au hasard sur le Google Play Store et couvrant 34 éditeurs. De telles applications sont également disponibles en nombre pour iOS. A première vue, certaines peut paraître développées par des amateurs, mais l’on trouve également des applications professionnelles, dont celles proposées par Siemens et Scheiner Electric, notamment, pour leurs systèmes ICS/Scada.

Dans un billet de blog, les chercheurs expliquent avoir retenu de préférence celles permettant d’accéder à un logiciel ou matériel de contrôle, « afin de tester une surface d’attaque aussi étendue que possible », tout en excluant les applications dont la plus récente mise à jour datant d’avant juin 2015. Mais le bilan n’est pas glorieux.

Les chercheurs ont ainsi identifié 147 problèmes de sécurité dans les applications ainsi que les systèmes avec lesquels elles doivent communiquer. La plus représentée est celle du risque d’altération de code, identifiée 32 fois et touchant donc 94 % des applications. Viennent ensuite, ex-aequo, l’autorisation non sécurisée et le stockage de données également non sécurisé, présents dans 20 applications. Mais les défauts de sécurisation des communications ne sont pas absents : 11 applications en présentent. Et elles sont 6 à ne pas proposer une authentification sûre, quand 18 sont ouvertes à la rétro-ingénierie.

Dans leur rapport complet, les chercheurs soulignent les risques en détaillant les types d’attaques envisageables : compromission des communications, vol ou perte de terminal – puis extraction des éléments d’identification –, compromission logicielle du terminal par l’installation de maliciel, etc.

Ce n’est pas la première étude que les chercheurs réalisent dans ce domaine : la précédente remonte à 2015. A l’époque, ils s’étaient penchés sur 20 applications et y avaient trouvé 50 problèmes de sécurité. Aujourd’hui, ils soulignent que leurs tout derniers résultats font ressortir « un accroissement moyen de 1,6 vulnérabilité par application », en deux ans donc.

Parallèlement, le Cert-US vient d’alerter sur l’impact des vulnérabilités Meltdown et Spectre sur les systèmes ICS/Scada. ABB, Rockwell Automation et Siemens, notamment, viennent de publier des notices d’information sur le sujet. Mais pour l’heure, elles s’avèrent plutôt laconiques.

ABB indique ainsi « continuer d’enquêter » sur ses produits affectés. Siemens n’est guère plus loquace et recommande à ses clients de « déterminer si les fournisseurs de processeurs, systèmes d’exploitation et autres logiciels utilisés sur les systèmes informatiques ont produit des corrections pour ces vulnérabilités ».

Siemens conseille « d’appliquer le concept de défense en profondeur » tandis qu’ABB souligne que « les réseaux utilisés pour des systèmes de contrôle industriel devraient toujours être séparés des réseaux publics et/ou d’entreprise ». Il suggère de « prévenir ou réduire l’exécution de code externe sur les ICS ». 

Pour approfondir sur Menaces, Ransomwares, DDoS