Systèmes industriels : 2018, l'année de tous les risques ?

Selon l’institut Kosciuszko, cette année pourrait être marquée par les attaques sur les infrastructures critiques. En soi, ce ne serait pas une grande nouveauté. Les infrastructures électriques de l’Ukraine ont déjà fait l’objet d’attaques répétées. Le pays n’a d’ailleurs pas manqué d’être régulièrement visé par des acteurs malveillants au cours de ces dernières années. Mais plus récemment, Triton a marqué un tournant, visant non pas les systèmes de contrôle industriel (ICS), mais les systèmes de sûreté industrielle (SIS).

Paul Timmers, de l’université d’Oxford, et ancien directeur de la direction de la Commission européenne pour une société sûre et durable, relève ainsi que les attaques sur les systèmes critiques au fonctionnement d’états et de sociétés remontent à 2016. Mais pour lui, elles pourraient s’étendre, en 2018, à des secteurs tels que les transports. Avec à la clé, un risque d’incidents d’autant plus difficiles à maîtrisés que les frontières – qu’elles soient géographiques ou seulement sectorielles – s’effacent du fait d’interconnexions, notamment numériques, toujours plus importantes.

Les auteurs de l’édition 2018 du rapport du Forum économique mondial sur les risques ne disent pas autre chose. Le mois dernier, ils relevaient « une tendance croissante à l’utilisation des attaques informatiques pour viser des infrastructures critiques et des secteurs industriels stratégiques ». De quoi faire craindre que, « dans un scénario du pire, des attaquants pourraient faire tomber des systèmes qui permettent aux sociétés de fonctionner ».

Et les systèmes vulnérables ne manquent pas. Récemment, des chercheurs de Kaspersky ont annoncé la découverte de 14 vulnérabilités dans les jetons physiques Gemalto SafeNet Sentinel. La plus critique d’entre elles « peut être utilisée pour une élévation de privilèges – le processus vulnérable s’exécute avec les privilèges système, permettant à du code malicieux de fonctionner avec les privilèges les plus élevés ». Alors, certes, Gemalto a indiqué aux chercheurs, en juin dernier, avoir corrigé 11 des vulnérabilités. Mais pour les trois autres, le groupe n’a pas précisé si elles avaient été corrigées. Selon Kaspersky, il s’est contenté d’informer ses clients d’une nouvelle version de pilote.

Mais même si des correctifs sont disponibles, encore faut-il qu’ils soient appliqués. Et dans le monde des systèmes industriels, aucune modification n’est pas apportée à l’environnement sans des tests très approfondis… Et si, dans cette perspective, le risque pourrait être au moins réduit par gestion rigoureuse de l’exposition réseau, ce n’est pas toujours le cas.

Arnaud Soullié, de Wavestone, le souligne d’ailleurs, dans un billet de blog : « la sécurisation d’un SI industriel doit prendre en compte le fait qu’un accès réseau sur le port TCP 502 permet d’accéder à la logique de l’automate, de la modifier, mais également de forcer certaines valeurs. Ce qui permet à un attaquant de mener une attaque qui ne sera pas visible de l’opérateur ».

Et les britanniques de Positive Technologies viennent de rappeler que de nombreux systèmes industriels peuvent être trouvés rapidement sur Internet, sans protection, via Google ou le moteur spécialisé Shodan. Ce dernier permet d’ailleurs d’explorer le sujet très aisément, via une page dédiée qui donne accès aux inventaires de systèmes exposant différents protocoles – Modbus, Siemens S7, DNP3, etc.

Pire, selon Positive Technologies, le nombre de composants exposés a augmenté sur un an, d’environ 10 %. Sur les plus de 175 000 composants ICS ainsi détectés, près de 8 000 sont liés à des adresses IP en France.