La sécurité informatique des structures ICS/SCADA

19/07/2018
Auteurs : Eric Guittard
Publication 3EI 3EI 2018-93
OAI : oai:www.see.asso.fr:1044:2018-93:23151
DOI :
contenu protégé  Document accessible sous conditions - vous devez vous connecter ou vous enregistrer pour accéder à ou acquérir ce document.
- Accès libre pour les ayants-droit
 

Résumé

La sécurité informatique des structures ICS/SCADA

Métriques

15
0
644.55 Ko
 application/pdf
bitcache://5aa4796e70a25b129b9cf1e03b2d15e91375215d

Licence

Creative Commons Aucune (Tous droits réservés)
<resource  xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
                xmlns="http://datacite.org/schema/kernel-4"
                xsi:schemaLocation="http://datacite.org/schema/kernel-4 http://schema.datacite.org/meta/kernel-4/metadata.xsd">
        <identifier identifierType="DOI">10.23723/1044:2018-93/23151</identifier><creators><creator><creatorName>Eric Guittard</creatorName></creator></creators><titles>
            <title>La sécurité informatique des structures ICS/SCADA</title></titles>
        <publisher>SEE</publisher>
        <publicationYear>2018</publicationYear>
        <resourceType resourceTypeGeneral="Text">Text</resourceType><dates>
	    <date dateType="Created">Thu 19 Jul 2018</date>
	    <date dateType="Updated">Thu 19 Jul 2018</date>
            <date dateType="Submitted">Thu 14 Mar 2019</date>
	</dates>
        <alternateIdentifiers>
	    <alternateIdentifier alternateIdentifierType="bitstream">5aa4796e70a25b129b9cf1e03b2d15e91375215d</alternateIdentifier>
	</alternateIdentifiers>
        <formats>
	    <format>application/pdf</format>
	</formats>
	<version>38547</version>
        <descriptions>
            <description descriptionType="Abstract"></description>
        </descriptions>
    </resource>
.

La sécurité informatique des structures ICS/SCADA La Revue 3EI n°93 Juillet 2018 Thème 3 La sécurité informatique des structures ICS/SCADA Éric GUITTARD Professeur de SII LGT Léonard de VINCI – 2 Boulevard Hector Berlioz, 78100 Saint-Germain-en-Laye 1. Le point de départ L’industrie, anciennement basée sur des technologies électromécaniques de type boutons, relais et câblage logique a vu sa composition évoluer en intégrant de plus en plus de composants numériques programmables interconnectés entre eux sous forme de réseaux. Pendant longtemps, on a cherché à améliorer le fonctionnement de ces réseaux dans leurs fiabilités, leurs rapidités et leurs compatibilités pour permettre l’évolution d’un système de production. On a de plus en plus intégré l’informatique au cœur de la gestion des systèmes pour obtenir les avantages d’une gestion centralisée permettant l’anticipation des pannes, le traçage, l’analyse pour des gains de productivité. On a assemblé plusieurs technologies de fabricants différents au fil des besoins profitant des protocoles de communication permis par les bus de terrain et réseau Ethernet. Tout cela fait la force et l’adaptabilité des réseaux industriels actuels. Les industriels se sont aussi penchés sur la sécurité des biens et des personnes, développant des matériels dédiés performants. Un point néanmoins n’a pas été inclus dans le développement de ces technologies et c’est là que le bât blesse. La sécurité informatique n’a pas été prise en compte pour des réseaux souvent séparé d’Internet et donc potentiellement à l’abri de toute attaque. Mais tout ceci a été remis en cause suite à un acte de cyberguerre où un matériel sur un réseau pourtant isolé de l’extérieur a été victime d’une attaque d’une ampleur incroyable. 2. Les événements qui ont changé la vision des industriels En 2010, un ver informatique (1), d’une portée et d’une complexité jamais vues jusqu’alors, fut trouvé par une société d’antivirus biélorusse du nom de VirusBlokAda. Ce malware informatique, nommé, par la suite, Stuxnet (2) par Siemens, n’était pas du tout comme les autres et n’avait pas le comportement d’un malware (3) commun qui visait habituellement tout porteur dans le but plus ou moins indirect de gagner de l’argent. Ce ver, dont la propagation a commencé en 2009 dans sa version aboutie, s’est répandu plus particulièrement en Iran puis dans le monde entier, utilisant plusieurs médiums pour se répandre dont les réseaux Pear-to-pear et les clefs USB. Stuxnet avait la particularité de s’activer uniquement en présence d’une architecture de type SCADA spécifique et était totalement inoffensif pour les porteurs, utilisant si possible leur connexion internet pour se mettre à jour. Il avait aussi la particularité d’utiliser quatre vulnérabilités différentes que l’on appelle « zero day » (4) ainsi que quinze exploits différents pour atteindre sa cible. Les failles 0-day en question étaient totalement inédites et n’avaient jamais été exploitées, portant principalement sur l’élévation de privilège (5) sur un système Windows et la prise de contrôle de PLC Siemens infectant les projets développés à l’aide de Step7. Le but de ce ver était de s’activer sur un ordinateur portable où Simatic WinCC V7 était installé pour ensuite modifier son comportement afin d’altérer le fonctionnement des contrôleurs reliés à celui-ci. C’est ainsi que ce ver a réussi à ralentir le programme nucléaire iranien de six mois à un an en perturbant le fonctionnement des centrifugeuses servant à l’enrichissement de l’uranium. Son action était simplement une modification de la vitesse des moteurs sur de courts intervalles. On estime à plusieurs millions d’euros les pertes engendrées par ce ver. Il a été pratiquement démontré que ce malware fut développé par la NSA et l’unité 8200 israélienne dans le but de nuire aux développements nucléaires de l’Iran. Ce qui fait de cette attaque un acte de cyberguerre. Stuxnet a mis à jour le grand problème de sécurité des réseaux industriels qui n’avaient jusque-là, jamais été visés par une attaque aussi significative. L’entreprise Siemens dû rapidement mettre au point des patches et des solutions pour éliminer ce malware qui utilisait plusieurs vulnérabilités de ses systèmes. Résumé : la sécurité informatique n’a pas été pensée dès la création des réseaux industriels et cela pose de plus en plus de problèmes au fur et à mesure que l’industrie confie à l’informatique toute sa gestion. Des événements graves et inquiétants font bouger les mentalités et on investit de plus en plus de temps et d’argent dans les protections mais est-ce suffisant ? La sécurité informatique des structures ICS/SCADA La Revue 3EI n°93 Juillet 2018 Thème 4 Principe de propagation du vers Stuxnet En 2013, un RAT (6) dénommé Havex (7) a été découvert. C’est un outil développé par le groupe d’origine russe DragonFly qui s’est spécialisé dans le secteur de l’énergie. On recense plus de 1000 entreprises de ce secteur touchées par ce malware. Ce RAT avait pour tâche de récupérer toutes les caractéristiques de son hôte, la base de données d’email et les mots de passe stockés afin de les envoyer à un serveur distant. Il utilisait le cheval de Troie Karagani ainsi que la backdoor (8) Oldrea. Il comportait aussi un module de scan OPC lui permettant de rechercher des équipements industriels de type ICS ou SCADA sur le réseau et de télécharger des exploits (9) pour étendre les capacités du cheval de Troie (10) et pour pouvoir ainsi contrôler l’environnement industriel de son hôte. En décembre 2015, un réseau de fourniture d'électricité en Ukraine a été victime du malware Blacken (Black Energy 2) (11) provoquant pendant quelques heures une panne d'approvisionnement pour plus de 1,4 million d'habitants de la région d'Ivano- Frankivsk. Ce malware, qui est une mise à jour du cheval de Troie nommé Black Energy datant de 2007 et ne cessant d’évoluer depuis lors, a infecté les différentes entreprises du fournisseur lors d’une campagne de phishing à l’aide d’un document Word contenant une macro. La prise de contrôle des systèmes informatiques serait passée soit par des outils d’administration à distance au niveau du système d’exploitation, soit des logiciels clients de contrôle industriel à distance via des connexions VPN. Le but des attaques était de couper l’énergie électrique et surtout de compliquer la restauration des sites. Pour y arriver ce malware a agi sur la commande des coupe-circuits en leur imposant de rester ouverts et ce, dans une boucle de programmation infinie et a permis notamment aux acteurs de l’attaque d’éteindre les Alimentations Sans Interruption (ASI) via les interfaces de gestion des onduleurs. Et grâce à son homologue KillDisk qu’il embarque, les attaquants ont pu corrompre le Master Boot Record des ordinateurs infectés ainsi que les firmwares des cartes Ethernet à la fin de l’attaque. Lors des conférences Black Hat 2016 de Singapour, des chercheurs en sécurité informatique ont dévoilé un tout nouveau type de ver nommé PLC-Blaster (12). Ce malware analyse puis compromet les PLC Siemens Simatic S7-1200. Il a la possibilité d'infecter un automate et de causer des dysfonctionnements de production. Il est plus redoutable que Stuxnet car il a la possibilité de détecter tous les équipements vulnérables en utilisant le protocole TCP/IP et de se propager sans utiliser d’appareil externe comme un ordinateur. Il est très difficile à détecter puisqu’il n’existe pas de solution anti-virus pour les PLC. Il faut donc une expertise individuelle pour découvrir sa présence. Ce ver pose une nouvelle vision des risques informatiques. Depuis Stuxnet, les mesures pour se protéger des attaques extérieures se sont développées et renforcées au point de penser qu’on avait solutionné le problème. Mais imaginer qu’un ver puisse être distribué par un fournisseur apporte une nouvelle dimension à la sécurité informatique. En décembre 2016, le réseau électrique ukrainien est une nouvelle fois attaqué. Cette fois-ci, c’est le malware Industroyer/CrashOverride (13) (14) (15) qui en est l’acteur. Il est une version évoluée d’Havex et de Black Energy, utilisant l’espionnage de sa cible et la mise à disposition des exploits permettant une attaque efficace pour ouvrir les organes de coupure de l’alimentation du fournisseur d’électricité. La modularité de cet outil d’attaque en fait une véritable menace pour tous les systèmes SCADA au vu de son aptitude à rester sur un ordinateur infecté. En effet, ce malware se comporte comme un service Windows, installe un autre cheval de Troie au cas où le premier serait détecté et efface toute trace de son action. Il possède un module permettant une attaque par déni de service contre des équipements Siemens de la gamme Siprotec qui sont des relais de protection utilisés dans les stations de distribution de l’électricité. La sécurité informatique des structures ICS/SCADA La Revue 3EI n°93 Juillet 2018 Thème 5 Principe de fonctionnement du malware Industroyer/CrashOverride En 2017, le cryptovirus (16) WannaCry (17) (18) envoyé par e-mail à près de cinq millions de personnes a mis à mal entre autres l’entreprise Renault qui a dû mettre à l’arrêt plusieurs de ses sites pour limiter l’action de celui-ci. Cette attaque aurait pu être évitée avec une sensibilisation aux risques des macros dans les documents informatiques. 3. Les faiblesses des systèmes ICS/SCADA Depuis 2010, plus de 230 CVE (19) ont été publiés concernant les failles propres aux productions Siemens qui sont le cœur de beaucoup d’attaques. Non pas du fait de la mauvaise gestion de la sécurité de ce groupe, mais plutôt de la large utilisation de leurs produits dans le monde. Et plus un produit est répandu, plus il risque d'être la cible d'attaques Evolution du nombre de CVE par année concernant Siemens selon le site https://www.cvedetails.com Ce graphique permet de se rendre compte de l’avant et l’après Stuxnet. Les recherches de vulnérabilités sont de plus en plus nombreuses et permettent de combler les faiblesses des systèmes SCADA. Celles-ci permettront au fil du temps d’avoir des systèmes plus robustes aux attaques sans ralentir le développement technologique. Les vulnérabilités découvertes sont principalement des possibilités de Déni de Service (DoS), du gain d’informations et de l’exécution de codes arbitraires. Celles-ci sont très utiles pendant une attaque, permettant de se renseigner sur la cible, de la manipuler et de la mettre hors service pour paralyser un fonctionnement. Les attaques sont de plus en plus perfectionnées et répondent à un modèle militaire décrit par Lockheed Martin (20) que l’on nomme la chaîne cybercriminelle ou Cyber Kill Chain. Cette chaîne permet d’envisager toutes les étapes d’une possible attaque. Et l’on peut remarquer que les étapes de reconnaissance, de manipulation et d’exécution de la cible en font partie. La sécurité informatique des structures ICS/SCADA La Revue 3EI n°93 Juillet 2018 Thème 6 Plus globalement les failles des systèmes SCADA sont de deux natures principales : • la pénétration du système, • la prise de contrôle du système. Une analyse permet d’identifier les vecteurs de pénétration des systèmes : • [1] l’introduction d’appareil de stockage comme les clefs USB, les smartphones (qui se retrouvent souvent branchés sur les ordinateurs sous prétexte de rechargement par des employés); • [2] l’introduction de nouveaux matériels qui peuvent être infectés en amont de la livraison ; • [3] les courriers électroniques contenant des pièces jointes ; • [4] le réseau Wifi qui dépasse les murs de l’entreprise ; • [5] les connexions à distance comme les VPN ; • [6] les liaisons entre les logiciels tiers et leurs serveurs ; • [7] les intervenants extérieurs qui peuvent se retrouver à introduire des clefs USB et autres vecteurs d’infection ; • [8] une mauvaise configuration de pare-feu ; • [9] une mauvaise configuration des modems. Les failles permettant la prise de contrôle : • {1} des matériels comportant des failles de sécurité ; • {2} les systèmes d’exploitation faillibles et obsolescents ; • {3} l’absence de ségrégation des réseaux ; • {4} l'absence de gestion des malwares sur tous les composants des systèmes SCADA ; • {5} l’erreur humaine ou la non-formation aux risques ; • {6} l’absence de mise à jour régulière ; • {7} l’hétérogénéité des composants industriels ; • des protocoles de communication qui ne prennent pas en compte la sécurité ; • des mots de passe par défaut en dur et non chiffrés ; Une meilleure connaissance de ces points faillibles ainsi que le modèle de Cyber Kill Chain peuvent permettre de mettre en place une stratégie de défense. Les dernières menaces se sont introduites dans les entreprises à l’aide de courriers électroniques. Une formation des employés à ces risques aurait pu stopper les attaques à leurs débuts. 4. Quelques actions menées pour faire face à ces risques Comme nous avons pu le constater, pour changer les choses, il faut communiquer, informer la majorité des utilisateurs des systèmes ICS/SCADA et former les collaborateurs aux risques. Pour qu’il y ait formation, il faut que les entreprises y voient un intérêt à investir du temps et de l’argent sur ce point. Nous allons voir La sécurité informatique des structures ICS/SCADA La Revue 3EI n°93 Juillet 2018 Thème 7 quelques exemples d’actions ou d’acteurs fournissant des ressources dans le sens de la communication. Depuis quelques années, des associations inter- entreprises voient le jour dans le but de partager les informations sur la sécurité des systèmes d’informations. C’est le cas de l’association Clusif (21) qui, en 2017, a animé un groupe de travail afin de répertorier toutes les attaques connues des systèmes SCADA en élaborant 23 fiches incidents (22) pour proposer des pistes de bonnes pratiques à adopter dans le but de prévenir ces types d’attaques. Le site de l’entreprise Sentryo (23) fournit des ressources et des guides pour mettre en place une stratégie de sécurité industrielle, ainsi qu’un système de supervision pour les systèmes ICS/SCADA permettant d’augmenter sa résilience en analysant tout ce qui circule. Le site de la société XMCO (24) publie des magazines gratuits et de qualité sur l’actualité du monde de la sécurité informatique. XMCO met à disposition un CERT (Computer Emergency Response Team) pour accompagner les entreprises dans la cyber-surveillance. L’ANSSI (l’Agence Nationale de la Sécurité des Systèmes d’Information) fournit des guides sur la cyber- sécurité des systèmes industriels pour accompagner les industriels dans leurs démarches de sécurisations informatiques (25). Les recherches de failles de sécurité de la part de la communauté des experts en informatique et la publication de CVE font avancer les choses en limitant les failles encore non découvertes potentiellement les plus dévastatrices. Ce phénomène engendré par les hackers nous permet d’avoir un internet plus fiable et moins dangereux au fil du temps, de même que pour les réseaux industriels qui, eux aussi, vont bénéficier de cette expertise. Du côté de la communication il existe diverses conférences autour de la sécurité informatique informant et sensibilisant les personnes aux risques possibles. Je me limiterai à citer par exemple “La Nuit du Hack”, “Hack In Paris”, la “Black Hat”, la “Defcon” ou encore le “SSTIC”. Et le plus important est la prise en compte de ces risques par les fabricants des matériels industriels. Siemens, par exemple, a mis en place un CERT (26) orienté produits d'automatisation industrielle pour renforcer sa politique en matière de cybersécurité. Les autres entreprises ne restent pas non plus inactives dans ce domaine. Codesys ou ABB se sont mis aussi à publier des Advisories (alertes) concernant les mises à jour de sécurité à effectuer en fonction des failles découvertes. Schneider met à disposition sur son site la liste de notifications de sécurité (27) contenant les numéros des CVE associés. 5. Le futur Au départ, nous travaillions dans un environnement non prévu aux risques apparus avec la mise en réseau des systèmes, dont on ne connaissait pas toutes les failles. A l'heure actuelle, nous avons appris de nos erreurs grâce ou à cause de ces failles, ce qui a permis une plus grande évolution dans la prise en compte de la sécurité. Mais lorsque l'on se rend compte qu’une simple campagne de phishing permet encore de mettre à genoux de gros acteurs de l’industrie et qu’il est encore possible de trouver via le moteur de recherche Shodan (28) des automates reliés à Internet sans véritables protections, il y a encore du travail concernant la sensibilisation des industriels. Rien ne sensibilise autant un industriel qu’une attaque provoquant une perte d’argent. De cette manière, les malwares et attaques présentés ont eu un effet bénéfique pour l’ensemble des autres entreprises qui agissent dès lors pour éviter que cela ne leur arrivent. On peut espérer que les entreprises se mettront à cloisonner leurs réseaux pour éviter une pénétration trop facile et à investir dans des formations qui aideront leurs employés à se méfier de l’utilisation de clefs USB extérieures ou tout autre matériel brisant le cloisonnement. Il se développe aussi de plus en plus de services de cyber-surveillance ou réponse à un incident informatique pour réagir au plus vite en cas de fonctionnement anormal. Le coût de ces services peut aussi encourager au développement de solution d’antivirus ou de nouveaux protocoles prenant en compte la sécurité. Nous n’en sommes qu’au début et le cas d’école que fut la cyber-attaque de l’Estonie en 2007 démontre que la dépendance économique aux réseaux informatiques demande une vigilance accrue et qu’il faut mettre en œuvre les moyens nécessaires pour garantir l’efficacité à long terme des réseaux connectés. 6. Lexique (8) Backdoor : programme ouvrant une porte permettant l’accès depuis l’extérieur (10) Cheval de Troie : Programme ou logiciel légitime permettant le plus souvent la prise de contrôle à distance. (16) Cryptovirus : rançongiciel qui crypte les informations d’un système et qui demande une rançon pour pouvoir les décrypter. (19) CVE (Common Vulnerabilities and Exposures) : dictionnaire des informations publiques relatives aux vulnérabilités de sécurité publié une fois que celles-ci ont fait l’objet d’un correctif. La sécurité informatique des structures ICS/SCADA La Revue 3EI n°93 Juillet 2018 Thème 8 (5) Élévation de privilège : mécanisme permettant d'obtenir des privilèges et pouvoirs plus élevés que nécessaire. (9) Exploit : programme permettant d’exploiter une vulnérabilité. ICS (Industrial Control System) : système de contrôle industriel. (3) Malware : un logiciel malveillant développé dans le but de nuire à un système informatique. (6) RAT (Remote Administration Tool) : un logiciel de prise de contrôle à distance. SCADA (Supervisory Control And Data Acquisition) : système d'acquisition et de contrôle de données. (1) Ver : programme se reproduisant en utilisant les canaux de communication tel que le réseau ou les clefs USB. (4) Zero day : c’est une vulnérabilité qui n’ayant pas fait l’objet d’un CVE. 7. Liens (2) https://www.symantec.com/content/en/us/ enterprise/media/security_response/whitepapers /w32_stuxnet_dossier.pdf (7) https://www.sans.org/reading- room/whitepapers/ICS/impact-dragonfly- malware-industrial-control-systems-36672 (11) https://www.sentinelone.com/wp- content/uploads/2017/06/BlackEnergy3_WP_01 2716_1c.pdf (12) https://www.blackhat.com/docs/asia- 16/materials/asia-16-Spenneberg-PLC-Blaster- A-Worm-Living-Solely-In-The-PLC-wp.pdf (13) https://dragos.com/blog/crashoverride/ CrashOverride-01.pdf (14) https://ics.sans.org/media/E- ISAC_SANS_Ukraine_DUC_5.pdf (15) https://www.welivesecurity.com/wp-content/ uploads/2017/06/Win32_Industroyer.pdf (17) https://trapx.com/wp-content/uploads/2017/08/ Research_Paper_TrapX_WannaCry.pdf (18) http://cert-mu.govmu.org/English/Documents/ White%20Papers/White%20Paper%20- %20The%20WannaCry%20Ransomware%20At tack.pdf (20) https://www.lockheedmartin.com/content/ dam/lockheed-martin/rms/documents/cyber/ LM-White-Paper-Intel-Driven-Defense.pdf (21) https://clusif.fr (22) https://clusif.fr/publications/fiches-incidents- cyber-industriels-2017/ (23) https://www.sentryo.net (24) https://www.xmco.fr/actusecu/ (25) https://www.ssi.gouv.fr/entreprise/guide/la- cybersecurite-des-systemes-industriels/ (26) https://www.siemens.com/global/en/home/prod ucts/services/cert.html (27) https://www.schneider-electric.com/en/work/ support/cybersecurity/security-notifications.jsp (28) https://www.shodan.io/search?query=schneider https://scadahacker.com 8. Bibliographie https://www2.fireeye.com/rs/848-DID-242/images/ics- vulnerability-trend-report-final.pdf https://www.ifri.org/sites/default/files/atoms/files/desar naud_cybersecurite_2017_sl.pdf https://clusif.fr/publications/scada-2017-securite- industriels-aujourdhui-demain/ MISC n°74 : https://connect.ed- diamond.com/MISC/MISC-074 https://customers.codesys.com/fileadmin/data/customer s/security/CODESYS-Security-Whitepaper.pdf https://repo.zenk- security.com/Techniques%20d.attaques%20%2 0.%20%20Failles/Securite%20des%20systemes %20de%20controle%20industriel.pdf http://www.isssource.com/wp- content/uploads/2012/12/120612Analysis-of- 3S-CoDeSys-Security-Vulnerabilities-1.1.pdf https://www.xmco.fr/actu-secu/XMCO-ActuSecu-35- Securite_Reseaux_Industriels.pdf