Frdric Prochasson - Fotolia

Scada : des pratiques négligentes et des illusions

Des chercheurs ont profité de la 32e édition du Chaos Communication Congress, fin décembre, pour souligner les vulnérabilités des systèmes informatiques industriels, et tout particulièrement ceux des chemins de fer.

Ils sont une trentaine de chercheurs en sécurité spécialistes des systèmes de contrôle industriel, les fameux Scada, rassemblés au sein du groupe Scada StrangeLove. Il y a peu, ils ont décidé de mettre certaines pratiques à risque en exergue : sur GitHub, ils publient les identifiants par défaut d’une centaine d’équipements pour Scada, tous collectés à partir de sources publiques. De quoi souligner, si c’était encore nécessaire après Stuxnet, le sens limité des responsabilités de ceux qui déploient ce type d’infrastructure sans prendre la peine d’en personnaliser la configuration.

Trois membres du groupe Scada StrangeLove intervenaient lors du 32e Chaos Communication Congress, fin décembre dernier, à Hambourg. L’occasion pour Sergey Gordechik, Aleksandr Timorin, et repdet, de faire une démonstration concrète de la vulnérabilité de systèmes industriels critiques : ceux utilisés pour les chemins de fer.

Le risque ? Les aiguillages et la signalisation, en particulier, sont de plus en plus automatisés. Mais ils fonctionnent de manière interfacée avec les motrices. Il faudrait ainsi compter rien moins que 7 systèmes de contrôle automatisé sur l’Eurostar.

Des chemins de fer de plus en plus automatisés

Les chercheurs se sont donc penchés, notamment, sur les systèmes embarqués pour les chemins de fer allemand. Et de présenter des systèmes basés sur des processeurs bien connus de type x86 ou PowerPC, exploités sous VxWorks avec WinAC RTX, mais sans authentification pour des échanges basés sur XML et http. Un mécanisme décrit là comme aisément « reproductible », que soit à des fins de test ou malicieuses, d’autant plus que les serveurs http et parseurs XML sont développés en interne. Pas des vulnérabilités en soi à ce stade, mais des « faiblesses », soulignent les chercheurs.

Les systèmes d’aiguillage modernes apparaissent de leur côté comme des systèmes Scada ressemblant à tant d’autres. Se pose alors la question des vecteurs d’attaque. Et cela commence par les stations de travail, par contournement de protections physiques ou compromission par hameçonnage, mais également par les passerelles d’intégration qui assurent l’interconnexion réseau ou encore les dispositifs de communication à distance entre systèmes de contrôle et périphériques commandés. « Selon notre expérience, la protection physique est très mauvaise ». Et la gestion des mots de passe ? Avec des post-its et autres autocollants déposés directement sur les stations de travail, comme peuvent le montrer « des documentaires » publiquement accessibles. Et c’est sans compter avec l’usage de systèmes d’exploitation pour le moins… anciens.

Le mythe de l’isolation logique

Et de souligner là une difficulté supplémentaire : la culture de la sureté a conduit à multiplier les redondances jusqu’à compliquer considérablement l’application d’éventuels correctifs ou le maintient d’une posture de sécurité globale homogène.

Les chercheurs soulignent en outre un problème culturel majeur : les acteurs concernés pensent que leurs systèmes sont déconnectés, isolés du reste du monde numérique, à commencer par Internet. Et d’évoquer la question du GSM-R, le service de connectivité mobile dédié au monde des chemins de fer. Sans se pencher sur la question de la sécurité de ce service, ils s’intéressent à la vulnérabilité des modems et des trains eux-mêmes. Selon les chercheurs, ceux-ci doivent en effet s’arrêter automatiquement en cas de perte de connexion. Surtout, les modems GSM-R sont conçus pour être administrés à distance par SMS, avec un code PIN pour seule protection – à compter qu’il soit changé. Avec le risque de pirater un modem pour, ensuite, attaquer l’hôte à laquelle il fournit sa connectivité. Une menace qui a déjà été démontrée par le passé.

Prudents, les chercheurs n’ont pas dévoilé de noms d’équipementiers ni de vulnérabilités spécifiques. Mais selon eux, « toutes les recherches sont basées sur des exercices de sécurité pratiques et la plupart des problèmes ont été confirmés et corrigés par les fournisseurs ».

Pour approfondir sur Menaces, Ransomwares, DDoS

Close