211service.com
Le piratage des systèmes industriels s'avère facile
Trois présentations prévues au Conférence Black Hat sur la sécurité informatique à Las Vegas aujourd'hui révélera les vulnérabilités des systèmes de contrôle utilisés pour gérer les infrastructures énergétiques telles que les gazoducs. Ce ne sont là que le dernier signe que de tels systèmes restent dangereusement sensibles aux attaques informatiques qui pourraient avoir des conséquences dévastatrices ; et bien que les chercheurs aient proposé des correctifs pour chaque défaut qu'ils ont identifié, ils avertissent que, dans l'ensemble, l'infrastructure industrielle reste terriblement vulnérable.
Les vulnérabilités s'ajoutent à une liste croissante de problèmes identifiés en raison d'un récent essor de la recherche sur la sécurité des systèmes industriels. Les progrès pour résoudre ces problèmes de sécurité ont été lents, en partie à cause de la mauvaise conception des systèmes existants, et en partie à cause d'un manque d'incitations fortes pour corriger les failles rapidement.
Une démonstration aujourd'hui pulvérisera le public avec de l'eau provenant d'une réplique d'un composant d'une usine d'eau forcé à surpressuriser. Un autre montrera comment les capteurs sans fil couramment utilisés pour surveiller les températures et les pressions des oléoducs et autres équipements industriels pourraient être conçus pour donner de fausses lectures qui induisent des contrôleurs automatiques ou des opérateurs humains à prendre des mesures dommageables. Une troisième conférence détaillera les défauts de la technologie sans fil utilisée dans 50 millions de compteurs d'énergie à travers l'Europe, qui permettent d'espionner la consommation d'énergie domestique ou d'entreprise et même d'imposer des pannes d'électricité.
Les responsables américains ont fréquemment averti que les vulnérabilités des systèmes de contrôle industriels pourraient permettre des attaques dommageables contre les infrastructures publiques entraînant des pannes de courant, des dommages environnementaux, voire des pertes de vie (voir U.S. Power Grids a Hacking Target ).
Toutes les attaques à mentionner aujourd'hui nécessitent beaucoup moins de ressources et de compétences que ce qui était nécessaire pour employer l'attaque la plus connue contre un système industriel, l'opération Stuxnet soutenue par les États-Unis et Israël contre le programme nucléaire iranien (voir New Malware Brings Cyberwar One Step Plus proche ).
Nous avons démontré quelques scénarios qui provoqueront une panne catastrophique - un tuyau éclate ou un réservoir déborde - tout en envoyant une vue complètement différente au contrôleur, explique Brian Meixell de la société de sécurité du Texas. Cimation , qui a apporté la réplique du composant de l'usine d'eau pour montrer les vulnérabilités qu'il a découvertes.
Avec son collègue Eric Forner, Meixell a exploité un protocole appelé Dbus qui est utilisé pour contrôler les équipements industriels depuis les années 1970 et qui est encore largement utilisé aujourd'hui sur des appareils souvent connectés directement à Internet. Des analyses d'adresses IP publiques ont révélé qu'au moins 90 000 dispositifs de contrôle industriels sont en ligne et vulnérables à ce type d'attaque, explique Forner (voir Ce qui s'est passé lorsqu'un homme a cinglé l'ensemble de l'Internet). Dbus n'est pas sécurisé car personne dans l'industrie qui l'utilise ne pensait qu'il était prioritaire de le sécuriser, explique Meixell.
Lucas Apa, chercheur avec IOActif , affirme que cette attitude sous-tend également le défaut que lui et son collègue Carlos Mario Penagos ont trouvé dans les capteurs sans fil utilisés pour surveiller les infrastructures pétrolières, hydrauliques, nucléaires et de gaz naturel. Les trois principaux fournisseurs de ces capteurs les ont conçus de sorte qu'ils puissent être conçus pour donner des lectures frauduleuses, ou même être arrêtés avec un émetteur radio relativement bon marché d'une portée de 40 milles, explique Penagos. Nous pouvons montrer l'arrêt total de l'usine, dit-il.
Ce problème - et celui découvert par l'équipe de Cimation - est désormais connu des entreprises qui fabriquent les équipements, et des entreprises industrielles et d'infrastructure qui les achètent, grâce à un programme de partage de données géré par le Department of Homeland Security. Ce programme, appelé ICS-CERT, pour Industrial Control System Cyber Emergency Response Team, partage les données récemment publiées sur les vulnérabilités avec les entreprises et les opérateurs industriels concernés.
Cependant, ce n'est pas parce qu'ICS-CERT met en évidence un problème qu'il est résolu rapidement.
Apa dit qu'il s'attend à ce que de nombreux capteurs restent vulnérables à son attaque sans fil malgré l'action d'ICS-CERT, car la réparation nécessite une connexion physique aux capteurs pour mettre à niveau leur logiciel. Parce que les appareils sont utilisés dans des endroits dangereux, il peut être très difficile de les saisir, dit-il, et certaines entreprises auront plusieurs centaines de capteurs ou plus.
Sameer Bhalotra, l'ancien directeur principal de la cybersécurité à la Maison Blanche d'Obama et maintenant directeur de l'exploitation de la société de sécurité Web Impermium , Raconté Examen de la technologie du MIT que bien que l'ICS-CERT fonctionne bien, il n'accélère pas les progrès en matière de sécurité industrielle. En revanche, les éditeurs de logiciels tels que Microsoft sont devenus aptes à corriger rapidement les vulnérabilités, au point où les failles majeures sont désormais rares, explique Bhalotra. Les entreprises qui fabriquent des équipements et des logiciels de contrôle industriel n'ont jamais eu à se soucier beaucoup de la sécurité, et elles ne sont donc pas capables de générer rapidement des correctifs ou d'apporter des modifications de conception importantes. Rien de bien organisé ne se passe aujourd'hui, dit-il. Les fournisseurs vont simplement devoir accélérer et améliorer les correctifs, et cela va prendre un certain temps.
L'une des raisons pour lesquelles le processus est si lent est le manque d'incitations claires, explique Bhalotra. La législation actuelle ne rend pas les exploitants d'énergie ou les fabricants de systèmes de contrôle responsables des conséquences d'une mauvaise sécurité, telles que les dommages causés par une explosion ou une coupure de courant prolongée. Seule l'introduction d'une nouvelle législation pour éclaircir la question de la responsabilité est susceptible d'accélérer l'évolution de systèmes de contrôle industriel plus sûrs, dit Bhalotra.