Pour Claroty, 70 % des vulnérabilités des systèmes industriels sont exploitables à distance

Les systèmes de contrôle industriel (ICS) sont bien plus largement accessibles sur Internet que l’on ne le pense. La base de données nationale américaine (NVD) des vulnérabilités a recensé 365 vulnérabilités, ayant affecté les produits ICS de 53 fournisseurs au cours du premier semestre 2020. Parmi celles-ci, plus de 70 % peuvent être exploitées à distance via un vecteur d’attaque réseau, selon le rapport semestriel de Claroty sur les risques et les vulnérabilités ICS, publié fin août.

« Cette observation confirme le fait que les réseaux OT [technologie opérationnelle] totalement isolés des cybermenaces sont devenus extrêmement rares, soulignant l’importance cruciale de protéger les dispositifs ICS ouverts à Internet et les connexions d’accès à distance », lit-on dans le rapport. Et accessoirement, « le passage rapide à une main d’œuvre déportée – et donc la dépendance accrue aux accès à distance aux réseaux OT –, en raison de la pandémie de la Covd-19, renforce ce point et exacerbe les risques associés ».

Selon le rapport, plus de 75 % des 365 vulnérabilités recensées ont reçu des notes au moins élevées, voire critiques, dans le cadre du système commun de notation des vulnérabilités (CVSS).

En outre, les appareils présentant un risque d’exploitation particulier ne sont pas seulement ceux qui sont vulnérables. Pour Amir Preminger, vice-président de Claroty en charge de la recherche, il faut ajouter à cela « les appareils qui sont directement connectés à Internet sans mesure de sécurité, ou qui sont mal configurés ». Autant de « cibles faciles ».

Pour protéger leurs équipements ICS accessibles via Internet, Amir Preminger recommande d’ajouter une couche de sécurité supplémentaire, en n’en autorisant par l’exemple l’accès que via un VPN, et en limitant l’éventail des adresses IP autorisées à accéder à ces dispositifs industriels.

Dans son rapport, Claroty relève également que les vulnérabilités ICS recensées au premier semestre sont « plus répandues dans les secteurs de l’énergie, de l’industrie manufacturière critique, de l’eau et des eaux usées, tous désignés comme des secteurs d’infrastructures critiques ».

Interrogé sur le degré de réussite des fournisseurs de ICS dans le traitement des vulnérabilités affectant leurs produits, Amir Preminger a déclaré que, bien qu’il ne puisse pas parler au nom de toutes les entreprises, il a constaté « une certaine amélioration » dans l’ensemble. Mais selon lui, il y a une différence entre les grands fournisseurs disposant d’équipes de sécurité efficaces et celles qui sont « assez nouvelles dans le domaine de la sécurité ».

« Nous avons vu des entreprises qui étaient toujours aux prises avec le [même] problème après un an et demi environ. »

Très clairement, pour Amir Preminger, « vous pouvez voir les différences. Je peux vous dire que nous avons vu quelques entreprises régler un problème après deux semaines, ce qui était le délai le plus court que nous ayons jamais vu ». Mais d’un autre côté, « nous avons vu des entreprises qui étaient toujours aux prises avec le [même] problème après un an et demi environ ».

En outre, selon Amir Preminger, la manière dont un fournisseur réagit lorsqu’on lui indique des vulnérabilités sur ses produits ICS peut varier. Si certains sont réceptifs, ce n’est pas le cas de tous… « Certains ont des difficultés à comprendre. Ils disent : “d’accord, vous avez trouvé une vulnérabilité. Nous ne pouvons pas émettre un avis ou un patch qui révélerait que tout est exploitable”. Et nous essayons de leur dire : “les gars, écoutez, la réalité est que vous avez une vulnérabilité. Vous ne pouvez pas y échapper. Si vous ne la traitez pas, quelqu’un d’autre va finir par la trouver et l’exploiter. Donc, la question n’est pas de savoir si nous allons la signaler. Il s’agit de savoir comment nous allons le faire de manière responsable, car cela doit être révélé”. Les gens doivent savoir qu’ils ont des équipements vulnérables ».

Le rapport de Claroty mentionne également Ripple20, la série de 19 vulnérabilités de type « zero-day » présente dans la pile TCP/IP de Treck. Claroty a assisté la société de conseil en cybersécurité JSOF, qui a découvert et divulgué ces vulnérabilités affectant les objets connectés. Car la pile de Treck est n’est pas seulement utilisée pour l’IoT, mais aussi pour les produits OT et ICS.

Et pour Amir Preminger, ce n’est qu’un début : « je pense que nous allons voir plus de [vulnérabilités]. Ripple20, URGENT/11 et ce que nous appelons les “vulnérabilités des bibliothèques tierces”, sont quelque chose qu’il est difficile d’éviter. Comme une grande partie de l’industrie s’appuie sur des logiciels embarqués, il sera très courant de voir des codes tiers utilisés pour réduire les coûts. Beaucoup de gens aiment utiliser des bibliothèques, en particulier lorsqu’il s’agit de développer des systèmes embarqués », a déclaré M. Preminger.