Après les failles 0-day, les failles « forever-day » !

Les vulnérabilités touchant les automates et les SCADAs sont à présent bien connues, et de nouvelles failles continuent d’être régulièrement rendues publiques(voir le précédent article à ce sujet).

Un certain nombre de fabricants d’automates et d’éditeurs ont commencé à publier des patchs pour corriger ces failles. On savait déjà que les industriels avaient du mal à mettre leurs systèmes à jour du fait de la nécessité d’arrêter la production et à cause du risque que cela ne « fonctionne plus comme avant ». Mais il y a pire…

Le concept de « forever-day »

Si certains constructeurs jouent le jeu, une nouvelle tendance est apparue : des éditeurs et fournisseurs annoncent que les failles sur leur produit ne feront jamais l’objet de correctifs. Le concept de « forever-day » vient d’être inventé pour définir ces failles publiquement connues, et qui seront à jamais (for ever) des « 0-day », c’est à dire connues sans correctif disponible.

Par exemple, la faille « buffer overflow » concernant une large gamme de logiciels ABB (voir précédent article) entre dans cette catégorie : malgré la gravité de la faille et le large nombre de systèmes impactés (bras robotisés dans l’industrie automobile, dans la chimie…), ABB a confirmé que dans la mesure où ces systèmes sont en fin de vie, ils ne produiront jamais de correctif.

Évidemment ABB n’est pas le seul. Cet article de ArsTechnica cite une faille dans le logiciel d’administration web d’un historian GE, qui « ne sera jamais corrigée ». GE recommande aux clients de le désinstaller…

C’est également le cas de failles dans les automates : l’article cite Schneider, mais également Siemens, dont les failles sur S7-300 (utilisées par Stuxnet) demeurent toujours sans correctif. Certes cela n’est pas une surprise puisque cela touche des aspects de design difficiles à « patcher », mais cela reste particulièrement gênant sur des automates, car contrairement aux logiciels sur postes Windows, dont on peut toujours activer le pare-feu pour cacher un port et donc un service avec une faille, la mise en œuvre d’un firewall devant un automate est possible mais coûteuse (les modules Tofino coûtent plusieurs k€ !).

Évidemment, les produits « en fin de vie » du point de vie d’un fournisseur, sont souvent « en pleine activité » dans l’industrie, qui fait durer les équipements plusieurs dizaines d’années.

Mais cette situation n’est pas une surprise

En effet, les chercheurs en sécurité qui se sont récemment illustrés en « découvrant » le monde industriel, continuent de découvrir ce que tout le monde (industriel) sait : les systèmes en production sont souvent obsolètes, c’est le cas des OS (certaines usines sont de vrais musées de l’informatique), de bases de données, et a fortiori des SCADAs et des automates !

C’est donc un fait : dans l’environnement industriel il y a des systèmes obsolètes. Pire : plus les systèmes pilotent des processus critiques, voire réalisent des fonctions de sûreté, plus ces systèmes sont obsolètes ! Un automate industriel doit en effet avoir fonctionné sans modification pendant des années pour avoir un historique permettant d’en connaître la fiabilité, et pouvoir l’utiliser dans des boucles de sûreté…

La réponse existe

Cela fait plusieurs années que les pionniers de la cybersécurité industrielle travaillent à des solutions. Étant donné qu’on ne peut pas sécuriser certains composants, on va les protéger de manière périphérique, en mettant des « couches » de sécurité. Cela s’appelle la défense en profondeur, c’est défini de manière détaillé depuis 2007 chez ISA, depuis 2008 chez AIEA pour le nucléaire.

Jusqu’à présent ces concepts n’avaient pas vraiment émergé en pratique, faute d’intérêt réel. Mais à présent leur pertinence apparaît clairement, d’autant plus que les différentes normes et référentiels subissent des liftings pour les mettre au goût du jour (ISA 99.03.03 fin 2011, AIEA « computer security at nuclear facilities » début 2012).

Et voici une bonne nouvelle : pour les avoir mis en œuvre réellement, je peux vous confirmer qu’ils sont pertinents, bien conçus, et réellement utilisables en pratique !

Il est donc temps de commencer à mettre en œuvre les solutions suggérées depuis des années. Seul bémol : il faut lire couramment l’anglais. En France en effet il y a une certaine agitation (comme détaillé dans le précédent article), mais les solutions pragmatiques et adaptées à l’industrie sont toujours attendues.

 

Tags: , ,

2 Commentaires sur “Après les failles 0-day, les failles « forever-day » !”

  1. Jules Schmidt dit :

    scoop.it vient de mettre en avant une information qui date en fait d’Avril (!), mais qui parle d’un constructeur d’équipements réseau canadiens (RuggedCom) qui apparemment n’envisage pas non plus de mettre à jour ses équipements pour corriger une vulnérabilité pourtant flagrante (login caché/mot de passe calculé à partir de l’adresse MAC) http://www.wired.com/threatlevel/2012/04/ruggedcom-backdoor/

  2. Patrice Bock dit :

    Un post intéressant sur le blog de Joe Weiss fait écho à cet article : son analyse est qu’une des raisons pour lesquelles les constructeurs ne mettent pas à jour leurs équipements anciens (legacy) est que la norme déjà en vigueur outre-atlantique (NERC CIP) n’impose pas de sécuriser les systèmes « obsolètes ». cela me surprend car la sécurisation des centrales nucléaires aux US coûte déjà de l’ordre de 2M$ par unité… Son article fait référence à une expérience menée dans une centrale, dont le but est justement de sécuriser des systèmes anciens, et dont les résultats (et le coût…) seront communiqués en octobre.
    http://community.controlglobal.com/content/are-ics-vendors-really-blame-insecure-systems

Répondre à Jules Schmidt

Note: Vous êtes responsable de vos commentaires, veillez à rester courtois et factuel. En postant votre commentaire, vous accordez de fait un droit de diffusion à Secur'id.