Black Hat

BlackHat 2015 : le piratage de sites industriels, une histoire refoulée

Les pirates pénètrent les systèmes de contrôle industriels depuis plus d’une décennie pour faire de l’extorsion de fonds, mais on en sait peu sur la façon dont ils y accèdent. En cause, le silence des entreprises qui ont payé.

Le piratage d’installations industrielles est l'une des plus grandes histoires censurées. Et pour cause, ces attaques sont rarement signalées. C’est en tout cas ce qu’a expliqué Marina Krotofil, chercheuse à l'Université de technologie de Hambourg, lors d’une conférence au BlackHat 2015.

D’après elle, les attaques contre des entreprises de services publiques (énergie, eau, etc.) ayant débouchées avec succès sur des extorsions ont connu une vague de grande ampleur en 2006. Pourtant, depuis, rien ou presque n’a filtré ni changé.

Secret

« C’était il y a dix ans, et nous ne savons toujours presque rien sur la manière dont les pirates s’y sont pris. Les entreprises victimes ne souhaitent pas rendre ces informations publiques ». Dommage, car entouré de secrets, elles ne permettent pas d’apprendre à s’en protéger.

Pire, la vaste majorité des attaques de ces 20 dernières années seraient restées totalement confidentielles. Les modus operandi restent donc, eux, grandement inconnus.

L’argent plus que les dégâts

On sait en revanche une chose. Une idée reçue, et fausse, est que ces attaques de sites industriels – dont les systèmes Scada – visent à provoquer des dommages physiques. La réalité quotidienne est plus financière : c’est l’extorsion qui arriverait en tête des motivations des cybercriminels.

Du côté des attaquants et dans cette optique, faire des dégâts serait d’ailleurs économiquement non viable. Tandis qu’une intrusion furtive et durable représente une épée de Damoclès qui permet de rançonner plus longtemps les entreprises victimes.

Autre effet contreproductif, « les dégâts physiques peuvent avoir des effets collatéraux en chaines et poser au final des problèmes de conformités réglementaires, problèmes qui eux-mêmes peuvent aboutir à des enquêtes mobilisant de très gros moyens d’investigation. Et les attaquants ne veulent pas de ces enquêtes qui peuvent les découvrir s’ils n’ont pas parfaitement couvert leurs traces », analyse Marina Krotofil.

Pour appuyer leurs exigences, les attaquants préfèrent donc dégrader un processus industriel (et pas une machine) pour par exemple menacer de diminuer la qualité d’un produit ou provoquer des frais de maintenance supplémentaires.

« La plupart de ces cas ne créent pas de problèmes importants de conformité. Les entreprises ne sont donc pas obligées de les signaler. Et pour protéger leurs images de marque, souvent, elles payent et ne disent rien », regrette la chercheuse.

Comprendre une attaque type

Pour pallier au manque de retours, Marina Krotofil a décidé de développer un modèle permettant de simuler une attaque contre une usine de production chimique.

Son étude révèle d’abord qu’il est relativement simple d’accéder au centre de contrôle industriel une fois que l’on a pénétré le système informatique de l’entreprise, en sautant de l’un à l’autre. L’utilisation d’un kit clef en main permettrait de réaliser cet exploit assez facilement.

Le véritable défi pour les attaquants est plus dans le payload. Concevoir une charge virale pertinente exige en effet de posséder des compétences techniques métiers (ici en chimie) pour amener le processus ciblé à l’état souhaité.

« Une fois l'accès obtenu, l'attaquant doit commencer à penser comme un responsable sécurité en charge du contrôle industriel, puis comme un ingénieur en charge des processus puis comme un chimiste », résume Marian Krotofil.

Les attaquants doivent savoir comment l'usine est construite, quel équipement est utilisé, comment il est utilisé, quels sont les points et les boucles de contrôle – comment ils fonctionnent où ils se trouvent dans la chaine de production – etc.. Tout ceci est susceptible de nécessiter la participation d'experts.

« Dans la conception de l'attaque, dit-elle, un bon endroit par où commencer est de regarder les rapports d'accident passés et de s’en inspirer en regardant où les choses ont mal tourné ».

Un attaquant de site industriel doit donc savoir gérer beaucoup de choses. Y compris la manière dont on peut modifier des processus sans déclencher des alarmes ou causer des effets induits non voulus pour être persistant.

Etre discret est plus rentable sur le long terme pour les attaquants

Car, d’après la chercheuse, il est important de comprendre que les motivations des attaquants ont changé et que les défenses, elles, n’ont pas suffisamment évolué pour les prendre en compte.

En résumé, malgré le secret qui entoure cette histoire refoulée, on sait aujourd’hui que les objectifs derrière les attaques sur les systèmes de contrôle industriels sont principalement de causer un préjudice économique persistant, et qu’elles sont beaucoup plus subtiles et sophistiqués que la simple détérioration. Il convient donc de s’y adapter.

Ceci étant, plus de transparence et de collaboration permettraient également de lutter plus efficacement pour prévenir les nombreuses étapes impliquées dans la réalisation d'une attaque de ce type. Un vœu pieux ?

Pour approfondir sur Cyberdéfense

Close