Infrastructures énergétiques : des géants aux pieds d’argile

Mi-décembre 2016, l’Ukraine a souffert d’une importante coupure électrique, privant Kiev d’un cinquième de sa puissance consommée au moment où elle est survenue. C’est la sous-station de Pivnichna, en banlieue de la ville qui a été affectée. Eset et Dragos se sont rapidement penchés sur le maliciel utilisé.

Dès le mois de juin 2017, Eset soulignait la modularité du framework qu’il appelle Industroyer, avec des composants permettant d’attaquant différents protocoles ICS/Scada, mais également un module d’effacement de données, plusieurs portes dérobées – avec des mécanismes de communication via Tor qui peuvent être limités aux heures non ouvrées –, etc.

De son côté, Dragos estimait que cette modularité permet aux auteurs du framework – qu’il appelle lui Crashoverride – d’envisager d’intégrer rapidement et aisément le support de nouveaux protocoles, mais également de mettre pour cela à profit « des équipes de développement externes compétentes dans la compromission de systèmes de contrôle industriel ». Le module dédié au protocole IEC 104 témoignerait d’ailleurs de l’adoption d’une telle approche. Mais Dragos ne s’est pas arrêté là et a poursuivi les recherches.

Dans un nouveau rapport, le spécialiste de la sécurité des systèmes industriels se penche plus en détail sur Crashoverride, sur ce qui s’est passé fin 2016, et sur ce qui aurait pu se passer, si les assaillants ne s’étaient pas vus couper l’herbe sous les pieds.

Pour Dragos, l’épisode de 2016 était un échec, « en particulier du point de vue des impacts concrets », et par rapport au précédent de décembre 2015. Mais ce n’est pas le plus important : « l’analyse approfondie de l’événement et de ses implications révèle une attaque bien plus complexe, nuancée et préoccupante ». Car de leurs observations, les experts de Dragos concluent : « avec une tentative de manipulation en plusieurs étapes des opérations de transmission, de la visibilité sur les ICS, et en définitive des systèmes de protection », les assaillants – que Dragos évoque sous le nom d’Electrum – « cherchaient à créer les conditions nécessaires à un possible événement physiquement destructeur au moment où la victime rétablissait les opérations ». Et pour les experts, c’est bien simple : « la victime, en 2016, a échappé au pire scénario ».

Cette analyse apparaît d’autant plus préoccupante que Crashoverride n’est pas le seul maliciel susceptible d’être utilisé à des fins d’impact destructeur sur des systèmes physiques. Il faut aussi compter avec Triton/Trisis, connu pour viser les systèmes de sûreté des environnements industriels. A son propos, Robert M Lee, patron de Dragos, ne cachait d’ailleurs pas son inquiétude, plus tôt cette année : « quelqu'un qui vise les systèmes de sûreté, ou qui entend le faire, ou seulement accepte qu'une personne le fasse, est prêt à tuer. Cela ne veut pas dire que c’est imminent, mais c’est une réalité ».

Mais voilà, s’il est des acteurs particulièrement avancés pour viser les systèmes critiques de réseaux électriques, et si des Etats, comme la Russie et les Etats-Unis, ne manquent de faire monter la tension, il faut peut être également compter avec un autre problème : les pratiques des énergéticiens eux-mêmes. Outre-Atlantique, le Nerc, un organe de régulation, a ainsi récemment mis à l’index certaines d’entre elles.

Dans un document repris par nos confrères d’EEnews, le Nerc se penche ainsi sur de « brèves indisponibilités » à « faible impact » ayant affecté les « pare-feu exposés sur Internet » chargés de sécuriser les communications entre un centre de contrôle et plusieurs sites de production électrique, au premier semestre. La faute à des tentatives d’exploitation de vulnérabilités pour lesquelles les correctifs n’avaient pas encore été appliqués.

Alors le Nerc ne manque pas de rappeler plusieurs pratiques de référence, dont il estime qu’elles méritent d’être appliquées y compris pour des actifs à la criticité limitée. Et cela concerne bien sûr le déploiement de correctifs, la réduction de la surface d’attaque, ou encore l’utilisation de VPN et de listes de contrôle d’accès. Sans s’y limiter.