L’objectif étant de protéger les infrastructures
critiques contre les attaques
La sécurité du système de contrôle industriel
(ICS) est au cœur des préoccupations au Black Hat USA –
avec des sessions chargées allant des attaques spécifiques au matériel
vulnérable – le tout dans le but de protéger les infrastructures critiques,
dont les failles de sécurité font si souvent la
une des journaux ces derniers temps.
Alors que les protocoles de contrôle industriels
ne sont pas sécuritaires, on remarque une volonté de boulonner le matériel et
les logiciels de sécurité pour vérifier les patterns de communication anormaux.
Mais bien qu’il s’agisse certainement d’un progrès, ces mesures ne visent qu’un
aspect des cyberrisques qui pèsent sur les ICS.
Dans mon expérience, la communication avec
l’équipement industriel n’était pas malveillante au niveau des paquets.
L’équipement suivait des ordres légitimes, mais dans un but malveillant. Voilà
pourquoi la question de la sécurité est si complexe.
Vous pouvez voir ce risque comme s’il s’agissait
d’un initié malveillant, mais numérique. Une fois que les attaquants ont obtenu
accès au réseau, les défenses limitées ICS/SCADA (contrôle de supervision et
acquisition de données) n’ont pas empêché les commandes émanant de postes de
travail légitimes, mais compromis.
Nous avons également pu voir à Black Hat des
réseaux critiques s’attacher sur des dispositifs de communication à distance
via des réseaux cellulaires pour surveiller les systèmes. Ces dispositifs
comportaient souvent des erreurs critiques de mauvaise configuration permettant
aux attaquants d’avoir accès et d’extraire des données qui éclaireraient les
attaques futures. Encore une fois, ces points d’entrée pouvaient être protégés,
mais ne l’étaient pas.
Les industries contrôlées par ICS, se trouvent à
une jonction intéressante où les praticiens qui sont les mieux à même de faire
fonctionner ces équipements sont en poste depuis assez longtemps pour ne pas
avoir grandi à l’ère du numérique, et il semble que cela entraine une certaine
résistance.
J’ai récemment interviewé un ingénieur senior
œuvrant dans entreprise d’infrastructures essentielles. Il a expliqué qu’il
voyait peu d’incitatifs à s’éloigner de ses domaines d’expertise et à
s’intéresser à la sécurité des réseaux ou à d’autres questions liées au domaine
numérique. Il ne recevrait pas d’augmentation de salaire, car il était déjà au
sommet ou près du sommet de son échelle salariale, et il se sentait nerveux à
l’idée de faire des erreurs qui pourraient lui causer des ennuis. Bref, il
voyait beaucoup de risques et peu d’avantages personnels à se lancer dans une
telle aventure.
Ce constat semble s’appliquer à l’ensemble du
monde de l’ICS. Dans certains cas, il faudra attendre l’arrivée en place de la
prochaine génération d’ingénieurs et d’opérateurs, qui ont grandi avec la
sécurité numérique et qui comprennent son importance en matière
d’infrastructures critiques, pour qu’un réel changement ne s’amorce.
Entre temps, je trouve encourageant de voir les
praticiens de la sécurité de Black Hat déployer autant d’efforts sur la
protection des infrastructures critiques. Après tout, cette même infrastructure
contrôle directement la capacité de faire ce que nous faisons dans le monde de
la sécurité. Si les lumières s’éteignent, l’eau cesse de couler bientôt et les
choses se transforment en boule de neige dans une situation dont personne ne
veut. Étant donné qu’une grande partie de l’infrastructure que nos sociétés
modernes tiennent pour acquise dépend des systèmes gérés par le SCI, ils
méritent d’être protégés.