Face à la hausse des cyber-menaces, le pape de la sécurité numérique publie son répertoire des techniques de hacking industriel

Après deux ans de R&D, l’entreprise américaine de cybersécurité Mitre publie ATT&CK for ICS, son encyclopédie des cyberattaques sur les réseaux informatiques industriels. Techniques d’intrusion, équipements ciblés, liste des hackers visant des usines… Industrie & Technologies décortique ce qu’on y trouve.

Partager
Face à la hausse des cyber-menaces, le pape de la sécurité numérique publie son répertoire des techniques de hacking industriel

Alors que les conflits géopolitiques s’intensifient en ce début d’année 2020, la cyber-menace plane sur l’industrie. L’Ukraine accuse la Russie d’avoir hacké le fournisseur de gaz Burisma, au sein duquel a travaillé Hunter Biden, le fils de Joe Biden, ancien vice-président des Etats-Unis. Microsoft et la firme de cybersécurité Dragos soupçonnent un groupe de cyber-assaillants lié à l’Iran, Magnallium, de préparer une attaque contre les réseaux d’électricité américains.

Le calendrier est bien trouvé pour Mitre, organisme à but non-lucratif fondé en 1958 et auteur de l’encyclopédie mondiale de la cybermalveillance, qui a publié le 7 janvier dernier sa base de données sur les cyberattaques visant les systèmes de contrôle industriels (ICS), baptisée ATT&CK for ICS. Au sein de cette « matrice » - comme aime l’appeler Mitre – publiée dans un wiki, on trouve un catalogue exhaustif des groupes cybermalveillants qui ont tenté au moins une fois d’infiltrer des réseaux de communication d’une usine (OT) ainsi que leur modus operandi.

ATT&CK for ICS, le « tableau périodique cyber de l’industrie »

Mais l’ONG financée par les Etats-Unis, source de nombreux services de renseignements sur les cyber-menaces (threat intelligence) va plus loin : elle dresse la liste des techniques possibles pour procéder à de telles attaques, les logiciels susceptibles d’être utilisés et les équipements industriels potentiellement visés. Chacun de tous ces éléments se voit attribuer un identifiant unique afin que le cyber-analystes à travers le monde puissent utiliser un vocabulaires commun pour effectuer leurs recherches. « ATT&CK for ICS est un véritable tableau périodique cyber de l’industrie », lance au site Cyberscoop Bryson Bort, fondateur de deux sociétés de cybersécurité, Scythe et Grimm. A son lancement, ATT&CK for ICS répertoriait 81 techniques, 17 logiciels malveillants, 10 groupes de hackers et 7 types d’équipements industriels vulnérables.

Annoncée pour la première fois en avril 2019, cette base de données des cyberattaques industrielles a en réalité pris deux ans de recherches aux équipes de Mitre. Pour y parvenir, ces dernières ont passé leurs journées à « simuler des attaques sur des réseaux OT » dans leurs laboratoires et dans ceux de ses partenaires – 100 personnes réparties dans 39 organisations, indique Otis Alexander, l’ingénieur responsable d’ATT&CK for ICS chez Mitre, dans une vidéo publiée par S4, qui organise des événements consacrés à la cybersécurité industrielle.

« Pourquoi avoir élaboré une matrice spécifique aux réseaux OT alors que Mitre met à jour, depuis 2013, ATT&CK for Enterprise, une base de données similaire pour les cyberattaques sur les systèmes d’information d’entreprises (IT) ? », se demande Otis Alexander dans une publication accompagnant le lancement d’ATT&CK for ICS, diffusée sur la plateforme Medium. « Les cibles, les objectifs et les techniques de l'adversaire diffèrent considérablement entre l’IT d’entreprise et l’OT », répond-il.

Attaquer des réseaux OT nécessite un méthodologie spécifique

Dans le cas d’Industroyer, une cyberattaque menée contre des réseaux électriques en Ukraine en 2016, appelé aussi CrashOverride, les assaillants ont certes utilisé les méthodes de « découverte de systèmes à distance » et de « balayage des services réseau » décrites dans ATT&CK for Enterprise (identifiants T1018 et T1046). Mais le logiciel malveillant utilisé avait aussi « la capacité d'émettre des messages de commande non autorisés pour modifier directement l'état des commutateurs et des disjoncteurs des sous-stations électriques », une technique visant directement les vulnérabilités des réseaux OT et « pas couverte par la base ATT&CK for Enterprise », rappelle Otis Alexander. Elle est décrite dans ATT&CK for ICS sous l’identifiant T855. « ATT&CK for ICS tente d'inclure uniquement les techniques ATT&CK for Enterprise utilisées contre les systèmes qui sont mis à profit dans les étapes finales menant à un impact induit par l'adversaire, ciblé ou non, contre un processus industriel », conclut Otis Alexander.

Aujourd’hui, les « matrices » ATT&CK de Mitre sont utilisées par l’ensemble de la communauté cyber. « Leur grande force : elles mettent l’accent sur les comportements de menace plutôt que sur les indicateurs de compromission [un élément d’analyse utilisée par les cyber-analystes lorsqu’ils découvrent une attaque, ndlr], insiste Austin Scott, de la firme américaine de cyber-analyse industrielle Dragos, partenaire de Mitre. Pourquoi est-ce important ? Bien qu'il soit trivial pour un groupe de hackers de changer les adresses IP, les noms de domaine et les valeurs de hachage de fichiers, il est extrêmement difficile et fastidieux pour de changer de tactiques, techniques et procédures d’action. En se concentrant sur les comportements de menace, la détection des menaces est rendue plus fiable. »

SUR LE MÊME SUJET

PARCOURIR LE DOSSIER

Tout le dossier

Sujets associés

NEWSLETTER L'hebdo de la techno

Nos journalistes sélectionnent pour vous les articles clés de l'innovation technologique

Votre demande d’inscription a bien été prise en compte.

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes...

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes du : Groupe Moniteur Nanterre B 403 080 823, IPD Nanterre 490 727 633, Groupe Industrie Service Info (GISI) Nanterre 442 233 417. Cette société ou toutes sociétés du Groupe Infopro Digital pourront l'utiliser afin de vous proposer pour leur compte ou celui de leurs clients, des produits et/ou services utiles à vos activités professionnelles. Pour exercer vos droits, vous y opposer ou pour en savoir plus : Charte des données personnelles.

LES ÉVÉNEMENTS L'USINE NOUVELLE

LES PODCASTS

Le Mans, capitale du son

Le Mans, capitale du son

Dans ce nouvel épisode de La Fabrique, Olivier James nous emmène au Mans pour nous faire découvrir un écosystème surprenant : celui de l'acoustique. En quelques années, la...

Écouter cet épisode

Le design dans le monde d'après

Le design dans le monde d'après

L'ancien secrétaire d'Etat socialiste, Thierry Mandon, est président de la Cité du Design de Saint-Etienne. Dans ce nouvel épisode du podcast Inspiration, il présente la Biennale...

Écouter cet épisode

Viande in vitro, végétal... Frédéric Wallet dresse le menu de demain

Viande in vitro, végétal... Frédéric Wallet dresse le menu de demain

Dans ce nouvel épisode de « Demain dans nos assiettes », notre journaliste reçoit Frédéric Wallet. Chercheur à l'Inrae, il est l'auteur de Manger Demain, paru aux...

Écouter cet épisode

La fin du charbon en Moselle

La fin du charbon en Moselle

Dans ce nouvel épisode de La Fabrique, Cécile Maillard nous emmène à Saint Avold, en Moselle, dans l'enceinte de l'une des trois dernières centrales à charbon de...

Écouter cet épisode

Tous les podcasts

LES SERVICES DE L'USINE NOUVELLE

Trouvez les entreprises industrielles qui recrutent des talents

VILLE DE CALLAC

Technicien des Services Techniques H/F

VILLE DE CALLAC - 31/03/2022 - CDD - CALLAC DE BRETAGNE

+ 550 offres d’emploi

Tout voir
Proposé par

Accédez à tous les appels d’offres et détectez vos opportunités d’affaires

76 - Martin-Église

Maîtrise d'oeuvre pour la construction de 24 logements intermédiaires

DATE DE REPONSE 20/06/2022

+ de 10.000 avis par jour

Tout voir
Proposé par

ARTICLES LES PLUS LUS