Sécurité des systèmes industriels : un état des lieux alarmant

Kaspersky s’est attelé à la tâche difficile consistant à dresser une photographie précise de la vulnérabilité potentielle des systèmes de contrôle industriels (ICS/Scada). Et le résultat n’a rien de rassurant ; il plaide en tout cas sans le moindre doute en faveur de réglementations strictes à l’instar de celle adoptée en France avec la loi de programmation militaire de fin 2013, ou plus largement en Europe avec la directive NIS.

Tout d’abord, Kaspersky constate que le nombre de vulnérabilités découvertes dans les ICS progresse d’année en année, passant de 2 en 1997 à 189 en 2015, avec entre temps, 192 en 2012, 158 en 2013 et 181 en 2014. Près de la moitié des vulnérabilités identifiées l’an passé présentent un niveau de risque élevé, notamment du fait d’une exploitation aisée : « pour 26 des vulnérabilités publiées en 2015, des exploits sont disponibles. En outre, pour beaucoup de vulnérabilités, aucun code d’exploitation n’est nécessaire pour obtenir un accès non autorisé au système vulnérable. Qui plus est, nos projets d’évaluation de la sécurité ICS montrent qu’ils sont souvent considérés par leurs propriétaires comme des ‘boîtes noires’. Donc, les identifiants par défaut ne sont souvent pas modifiés et pourrait être utilisés pour prendre le contrôle à distance sur le système ».

Une trentaine de chercheurs en sécurité spécialistes des ICS avaient d’ailleurs profité, en décembre dernier, de la 32^e édition du Chaos Communication Congress pour mettre en exergue certaines pratiques à risque : sur GitHub, ils avaient publié les identifiants par défaut d’une centaine d’équipements ICS/Scade, tous collectés à partir de sources publiques.

Si une vaste majorité des vulnérabilités dévoilées en 2015 a fait l’objet d’un correctif – 85 % – certaines n’ont pas eu autant d’honneur et d’autres n’en profiteront tout simplement jamais, notamment lorsque le produit concerné est arrivé en fin de vie commerciale. Sans que cela n’empêche qu’il soit encore utilisé.

Le risque apparaît d’autant plus important que de nombreux composants ICS sont accessibles sur Internet. En France, Kaspersky en a recensé 10 578. Ce qui place l’Hexagone au 4^e rang mondial, derrière les Etats-Unis, l’Allemagne, et l’Espagne. Les grandes entreprises ne sont pas forcément les meilleurs élèves en la matière : l’éditeur russe fait état d’au moins 17 000 composants ICS accessibles en ligne appartenant à de telles organisations, réparties dans une petite centaine de pays. Pour ne rien gâcher, ces composants sont fréquemment accessibles via des protocoles non sécurisés : http arrive en tête, avec près de 117 000 équipements. Il est suivi de Telnet – près de 30 000 –, Niagara Fox (20622), SNMP (16752) ou encore Modbus (16233).  

A défaut de révélations susceptibles de surprendre les spécialistes du secteur, l’état des lieux dressé par Kaspersky aura peut-être le mérite d’éveiller les consciences devant encore l’être. Car les incidents affectant les systèmes industriels ne sont plus aussi isolés qu’ils pouvaient l’être à l’époque de Stuxnet.

Des virus, dont Conficker, ont été récemment trouvés sur un système informatique reconditionné en 2008 et utilisé pour contrôler les barres de combustible dans la centrale nucléaire de Gundremmingen, en Bavière, au nord-ouest de Munich. Le logiciel malveillant BlackEnergy a été utilisé pour déclencher des coupures d’électricité en Ukraine au décembre dernier.

Au moins d’octobre dernier, Lexsi avait publié un effarant top 10 des défaillances dans la gestion de la sécurité des systèmes industriels, à partir de l’audit des infrastructures de 50 de ses clients – « notamment issus du CAC 40 ». Difficile d’imaginer que certains d’entre eux ne soient pas classés opérateurs d’importance vitale (OIV). De quoi plaider pour une publication rapide des prochains arrêtés sectoriels définissant leurs obligations en matière de sécurité de leurs systèmes d’information.