Meltdown/Spectre : des experts en infrastructures industrielles accusent Intel de déni de réalité

Pour Dale Peterson, fondateur de Digital Bond et des événements S4, dédiés à la sécurité des systèmes de contrôle industriel (ICS/Scada), les affirmations d’Intel sont tout simplement « éhontées ». Cet expert fait là référence à la manière dont le fondeur a récemment répondu aux parlementaires américains qui s’inquiétaient notamment des risques que peuvent faire peser Meltdown et Spectre sur les infrastructures d’importance vitale.

Pour Intel, « les caractéristiques généralement admises de la plupart des infrastructures critiques font que le risque [d’attaque via Spectre ou Meltdown] est faible ». Selon lui, les systèmes ICS ne permettent pas le transfert et l’exécution de code en mémoire locale, n’ont pas de connectivité externe, ne peuvent télécharger ou exécuter d’autre code que le code de contrôle présent sur l’infrastructure et ne peuvent enfin faire fonctionner plusieurs programmes en parallèle.

Certes, Intel reconnaît du bout des lèvres que « les ordinateurs ICS commencent à utiliser des connexions réseau qui permettre un transfert de données bidirectionnel pour faciliter la configuration, le diagnostic, et la maintenance à distance », notamment. Mais pour lui, le risque d’exploitation de vulnérabilités est « faible ». Le Cert-US, qui a récemment alerté sur l’impact des vulnérabilités Meltdown et Spectre sur les systèmes ICS/Scada appréciera sûrement. Marty Edwards, directeur de l’ICS-Cert n’est d’ailleurs pas tendre : « je n’aime pas que des entreprises représentent de manière erronée le risque sur le monde de l’ICS au Congrès ».

We (ICS) should - but I don't like companies misrepresenting the risks in the ICS space to Congress... I worked with them too long to let that go by

— Marty Edwards (@ics_Marty) February 24, 2018

De fait, l’analyse du fondeur est contredite par la mise en lumière d’attaques passées comme Stuxnet ou de maliciels plus récents comme Crashoverride et Triton. Elle l’est aussi par l’existence même de spécialistes de la sécurité des systèmes industriels comme les français Sentryo et Cybelius, mais aussi CyberX, Indegy, Waterfall Security ou encore Claroty et Nozomi, pour ne citer qu’eux. Et ce n’est pas comme si des virus informatiques, dont le célèbre Conficker, n’avaient pas été trouvés sur des ordinateurs de la centrale nucléaire de Gundremmingen, en Bavière, en 2016.

Pire l’existence de Meltdown et Spectre est une menace pour les systèmes industriels, car dans une chaîne d’attaque complexe, elle pourrait permettre à des attaquants d’implanter des codes leur permettant d’accéder encore plus en profondeur à l’infrastructure.

Minimiser c'est ne pas rendre service au monde Industriel qui doit intégrer le patching cybersecurity dans ses processus de maintenance.

— Laurent Hausermann (@lhausermann) February 24, 2018

1. Reid Wightman, analyste chez Dragos, ajoute quelques nuances, mais pour lui, en résumé, « Intel a tort ». Laurent Hausermann, fondateur de Sentryo, n’est pas plus tendre. Pour lui, cette tentative de minimisation du risque « n’est pas rendre service au monde industriel qui doit intégrer la gestion des correctifs de cybersécurité dans ses processus de maintenance ».

Surtout, il souligne que « les postes industriels sont interconnectés par les réseaux et par les clés USB ». Et d’illustrer son propos : « quand on regarde par exemple ce qui s’est passé en Ukraine, à savoir un dropper contenu dans un fichier XLS qui permet d’exécuter du code ». D’où l’intérêt, d’ailleurs, de solutions de nettoyage des clés USB comme Kub Cleaner.