Cybersécurité : ces attaques qui visent les systèmes industriels

Dans un nouveau rapport, la société de cybersécurité FireEye affirme que le développement du logiciel malveillant Triton ICS a été soutenu par une institution de recherche technique appartenant au gouvernement russe, le Central Scientific Research Institute of Chemistry and Mechanics de Moscou. D'autres organisations pourraient être également impliquées. Dans une tribune, Thomas Roccia, chercheur en sécurité au McAfee Lab revient sur les attaques qui ciblent l'industrie.

 

Partager
Cybersécurité : ces attaques qui visent les systèmes industriels

La cybercriminalité ne cesse d’évoluer et d’apporter son lot de challenge. Tous les secteurs de l’économie mondiale sont concernés, et le secteur industriel n’y échappe pas. Le digital est aujourd’hui une opportunité qui permet une productivité plus accrue mais implique également des risques inimaginables 20 ans plus tôt, lors de l’élaboration de ces systèmes industriels. Mais avec l’omniprésence du digital dans nos entreprises, il devient de plus en plus complexe de sécuriser nos environnements. Les attaques qui ciblent les systèmes industriels ne sont pas nouvelles. En 2010, Stuxnet un des premiers malwares industriels complexes , défrayait la chronique. Stuxnet ciblait les centrales iraniennes dans le but d’interférer avec les centrifugeuses et empêcher l’Iran d’accéder au nucléaire. En 2015, le réseau électrique ukrainien a été ciblé par le malware BlackEnergy coupant l’électricité pour 230 000 foyers pendant plus de 6 heures . L’Ukraine a encore une fois été ciblé en 2016 avec le malware Industroyer, provoquant un deuxième arrêt du système de distribution électrique . En 2017, ce sont des usines pétrochimiques du Moyen-Orient qui ont été la cible du malware Triton, spécialement créé pour impacter les systèmes industriels et plus particulièrement les systèmes de sureté (Safety Industrial System).

Les systèmes industriels représentent des cibles stratégiques pour les attaquants, leur permettant d’influer sur la stabilité d’un pays ou de manipuler des décisions politiques. Dans ce secteur, où la concurrence est parfois rude et les secrets monnaie courante, il n’est pas rare de voir des attaques ciblées sponsorisées par des états. Les logiciels malveillants ciblant les systèmes industriels représentent une des pires menaces. Ils suppriment les frontières entre les dégâts numériques et humains.

TRITON : Une nouvelle génération d’attaque

Triton représente un nouveau tournant dans l’industrie de la sécurité mais aussi pour les industriels. En effet, la sophistication de l’attaque indique que les attaquants ont potentiellement étudié les systèmes cibles durant plusieurs mois bénéficiant d’un budget non négligeable. Triton ciblait les systèmes de sûreté (SIS), Controlleur Triconex conçu par Schneider Electric. Ces systèmes sont spécifiquement conçus pour protéger les vies humaines présentes sur les sites d’exploitation. Après avoir obtenu un accès distant sur le réseau, les attaquants se sont déplacés jusqu’à atteindre les équipements SIS et en prendre le contrôle. Le malware Triton, qui s’apparente à un framework d’attaque, a permis l’injection de shellcode PowerPC (architecture du contrôleur) directement dans la mémoire du Triconex. Un shellcode étant un morceau de code interprété par le processeur.

Pour pouvoir communiquer et interagir avec les contrôleurs Triconex, les attaquants ont ré-implémenté le protocole propriétaire de communication utilisé pour l’administration de ces équipements. La compromission des contrôleurs SIS est composée de trois étapes. La première étant la vérification des systèmes cibles pour le bon déroulé de l’attaque. La seconde étant l’utilisation d’un injecteur permettant l’exécution de la troisième étape qui est l’installation d’une porte dérobée. La porte dérobée permettait un accès en lecture, écriture et exécution sur les contrôleurs. Cette fois-ci, l'attaque n'a pas abouti. Les investigations ont révélé qu’une potentielle charge utile manquait, l'étape finale de l'attaque. Dans le cas contraire, les conséquences auraient été désastreuses.

Des dommages potentiels conséquents

Triton est une attaque sans précédent dans la mesure où elle aurait pu être la première à entraîner des pertes humaines. Les systèmes Triconex ciblés par Triton sont utilisés dans près de 18 000 sites industriels (centrales nucléaires, raffineries de pétrole et de gaz, usines chimiques…). Les malwares ciblant les systèmes industriels deviennent plus agressifs et sophistiqués que jamais. Face à eux, des dispositifs industriels datant de l'époque où les cyberattaques comme celle de Triton étaient inimaginables. Les systèmes industriels sont aujourd’hui exposés à des environnements hyper connectés pour lesquels ils n'ont pas été conçus.

La réalité rattrape la fiction. Les menaces spécialement créées pour infecter les dispositifs industriels ne sont pas les seuls risques auxquelles les industriels sont exposés. Les logiciels malveillants plus ‘classiques’ peuvent également impacter les processus industriels. L'année dernière, WannaCry a contraint plusieurs entreprises à arrêter leur production, touchant aussi bien les industriels de la santé que de l'automobile. Quelques mois plus tard, NotPetya frappait et impactait une centrale nucléaire, un réseau électrique ainsi qu’un système de santé. Et cette année, un cryptominer a touché des usines de service d'eau en Europe.

Sur le même sujet > Wannacry, NotPetya, Industroyer... et après ?

Les recommandations de sécurité (mise en place de correctifs de vulnérabilité, création de mots de passe complexes, politique de contrôle d'identification, solutions de sécurité, etc.) restent les mêmes que pour une entreprise standard. Toutefois, la protection des systèmes industriels doit être considérée comme primordiale et des procédures spécifiques doivent être appliquées pour pallier les risques liés à l’obsolescence des systèmes. Une isolation du réseau industriel est une étape indispensable afin d’assurer l’intégrité du système. Chaque machine connectée aux processus industriels doit alors être surveillée de près en utilisant un contrôle d'accès strict et une liste blanche des applications.

Enfin, le dialogue et le travail doivent être faits par l’ensemble des parties prenantes, y compris les fabricants, les exploitants d'installations, les gouvernements et les acteurs de la cybersécurité. Comme l’a récemment souligné Guillaume Poupard, Président de l’ANSSI, une collaboration à l’échelle mondiale est la seule réponse contre les attaques industrielles ciblées.

Thomas Roccia, chercheur en sécurité au McAfee Lab

SUR LE MÊME SUJET

Sujets associés

NEWSLETTER L'hebdo de la techno

Nos journalistes sélectionnent pour vous les articles clés de l'innovation technologique

Votre demande d’inscription a bien été prise en compte.

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes...

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes du : Groupe Moniteur Nanterre B 403 080 823, IPD Nanterre 490 727 633, Groupe Industrie Service Info (GISI) Nanterre 442 233 417. Cette société ou toutes sociétés du Groupe Infopro Digital pourront l'utiliser afin de vous proposer pour leur compte ou celui de leurs clients, des produits et/ou services utiles à vos activités professionnelles. Pour exercer vos droits, vous y opposer ou pour en savoir plus : Charte des données personnelles.

LES ÉVÉNEMENTS L'USINE NOUVELLE

LES PODCASTS

Le Mans, capitale du son

Le Mans, capitale du son

Dans ce nouvel épisode de La Fabrique, Olivier James nous emmène au Mans pour nous faire découvrir un écosystème surprenant : celui de l'acoustique. En quelques années, la...

Écouter cet épisode

Le design dans le monde d'après

Le design dans le monde d'après

L'ancien secrétaire d'Etat socialiste, Thierry Mandon, est président de la Cité du Design de Saint-Etienne. Dans ce nouvel épisode du podcast Inspiration, il présente la Biennale...

Écouter cet épisode

Viande in vitro, végétal... Frédéric Wallet dresse le menu de demain

Viande in vitro, végétal... Frédéric Wallet dresse le menu de demain

Dans ce nouvel épisode de « Demain dans nos assiettes », notre journaliste reçoit Frédéric Wallet. Chercheur à l'Inrae, il est l'auteur de Manger Demain, paru aux...

Écouter cet épisode

La fin du charbon en Moselle

La fin du charbon en Moselle

Dans ce nouvel épisode de La Fabrique, Cécile Maillard nous emmène à Saint Avold, en Moselle, dans l'enceinte de l'une des trois dernières centrales à charbon de...

Écouter cet épisode

Tous les podcasts

LES SERVICES DE L'USINE NOUVELLE

Trouvez les entreprises industrielles qui recrutent des talents

VILLE DE CALLAC

Technicien des Services Techniques H/F

VILLE DE CALLAC - 31/03/2022 - CDD - CALLAC DE BRETAGNE

+ 550 offres d’emploi

Tout voir
Proposé par

Accédez à tous les appels d’offres et détectez vos opportunités d’affaires

02 - BOHAIN EN VERMANDOIS

Travaux de réhabilitation d'un local commercial-.

DATE DE REPONSE 16/06/2022

+ de 10.000 avis par jour

Tout voir
Proposé par

ARTICLES LES PLUS LUS