Les systèmes de contrôle industriels sont toujours vulnérables aux cyberattaques malveillantes





En 1982, la CIA a découvert un complot de l'Union soviétique visant à voler un logiciel industriel pour contrôler son réseau en pleine expansion de gazoducs. En réponse, l'agence a modifié le logiciel en utilisant des logiciels malveillants conçus pour paralyser les pipelines, puis a incité les Soviétiques à le voler.

Cette ruse s'est avérée un succès spectaculaire. Les Soviétiques ont installé le logiciel modifié - un système de contrôle industriel appelé SCADA - sur un pipeline sibérien. Après avoir fonctionné normalement pendant quelques mois, le logiciel malveillant a commencé à fermer les soupapes de sécurité, provoquant une augmentation de la pression dans le pipeline au-delà de ce que les soudures et les joints pouvaient supporter. Finalement, le pipeline a explosé, provoquant l'explosion et l'incendie non nucléaires les plus monumentaux jamais vus depuis l'espace, selon le Washington Post, qui a rapporté l'histoire en 2004.

Cet incident est entré dans l'histoire comme le premier exemple d'attaque de logiciel malveillant sur un système de contrôle industriel. Et cela a ouvert la voie à une campagne de cyberattaques qui a coupé le système téléphonique du centre de contrôle du trafic aérien de l'aéroport de Worcester, Massachusetts, en 1997 ; les systèmes de sécurité hors service de la centrale nucléaire de Davis-Besse en 2003 ; et détruit des centrifugeuses dans l'installation secrète d'enrichissement nucléaire iranien en 2010, pour ne citer que quelques incidents.



Certaines de ces attaques ont généré une énorme publicité et sensibilisé à la vulnérabilité des systèmes de contrôle industriels. Ainsi, toute entreprise utilisant un logiciel de contrôle industriel doit être consciente des risques et le protéger en conséquence. Mais est-ce vrai ?

Aujourd'hui, nous obtenons une sorte de réponse grâce à Marcin Nawrocki de l'Université libre de Berlin en Allemagne et à ses collègues, qui ont étudié la vitesse à laquelle les systèmes de contrôle industriels envoient des données non protégées sur Internet. Leurs résultats fournissent un aperçu surprenant de la vulnérabilité de ces systèmes.

Les systèmes de contrôle industriels, tels que SCADA et Modbus, ont été développés à l'origine avant qu'Internet ne se soit largement répandu. Ils ont donc été conçus pour être simples et fonctionner dans un système fermé sans connexion avec le monde extérieur.



Plus tard, il est devenu possible de regrouper les signaux de contrôle dans le trafic Internet ordinaire afin que les systèmes industriels puissent être contrôlés à distance. Cependant, cette approche est entièrement ouverte. N'importe qui peut analyser le trafic Internet à la recherche de ces types de paquets, voir où ils se dirigent, puis envoyer leurs propres commandes pour prendre le contrôle.

Et c'est exactement le nombre des premières attaques qui se sont produites. Les pirates pourraient se connecter aux systèmes de contrôle industriels à l'aide d'un modem téléphonique et en prendre le contrôle ou les désactiver.

Ainsi, toute une industrie s'est développée pour protéger de tels systèmes. Parce que le logiciel est si répandu, il ne peut pas être facilement réécrit. Au lieu de cela, l'approche principale consiste à regrouper les commandes dans une autre couche de logiciel protégée par un cryptage conventionnel, des mots de passe, etc. Cela empêche à la fois l'accès non autorisé aux systèmes de contrôle industriels et l'écoute clandestine des communications sur Internet.



Mais est-ce que tout le monde l'utilise ? Pour le savoir, Nawrocki et co ont étudié deux bases de données de trafic Internet. Le premier qu'ils ont collecté à partir d'un point d'échange Internet (IXP) en 2017 et 2018. C'est un point où les fournisseurs de services Internet et les réseaux de diffusion de contenu échangent des données. Il s'agit donc généralement de trafic provenant du même pays.

La deuxième base de données était une archive du trafic Internet brut entre les fournisseurs de services Internet (FAI) aux États-Unis et au Japon, qui a été stockée à des fins de recherche. Ces données sont bien sûr transnationales.

La première tâche de Nawrocki and co était de filtrer les données des paquets destinés aux systèmes de contrôle industriels. Ils l'ont fait avec un analyseur de paquets standard appelé Wireshark, qui révèle les paquets non protégés.



Mais il y a aussi une autre étape de filtrage importante. En raison des menaces pesant sur les systèmes de contrôle industriels, divers projets ont commencé à surveiller le trafic Internet, en identifiant et en cataloguant le trafic industriel, en interrogeant les hôtes et les sources si nécessaire et en créant des pots de miel pour attirer les acteurs malveillants.

Cette activité crée à elle seule un trafic important lié aux réseaux de contrôle industriels. Nawrocki et co ont donc dû filtrer les ensembles de données pour les supprimer également.

Ce qui restait était intéressant. Ils ont trouvé plus de 330 000 paquets non protégés liés aux systèmes de contrôle industriels. Dans le trafic international entre FAI, cela ne représentait que 1,5 % du trafic industriel total.

Mais la situation est nettement pire au niveau local, où 96 % du trafic est constitué de commandes industrielles non protégées. La part (96%) du trafic industriel non protégé [systèmes de contrôle industriel] à l'IXP est alarmante, disent-ils.

L'équipe a analysé plus en détail ce trafic non protégé à l'aide d'enregistrements DNS et de données whois. Ils ont identifié une série d'entreprises envoyant du trafic non protégé, notamment une société de conseil en énergie solaire, une entreprise de construction et une entreprise de commerce et de transport. Ces organisations sont évidemment exposées à un risque important d'attaque malveillante.

C'est un travail intéressant qui révèle des niveaux alarmants de trafic non protégé qui mettent les systèmes industriels en danger.

Réf : arxiv.org/abs/1901.04411 : Découvrir les systèmes de contrôle industriel vulnérables à partir du cœur d'Internet

cacher