L’addiction au patch

S’il est nécessaire d’avoir recours aux patchs de sécurité pour protéger vos composants industriels, ils peuvent s’avérer contre productif en amenant à se focaliser sur les vulnérabilités d’un système plutôt que sur des solutions de protection globale. Alors, patch ou pas ?

 

 

Une approche pertinente en IT

Depuis le début des années 2000 et l’apparition des premiers virus ayant causés des dégâts (comme Slammer en 2003), les stratégies de sécurité IT reposent sur la end-point protection : déploiement d’antivirus sur les PC, serveurs ou data centers ainsi que la détection d’intrusion sur les postes ou encore la surveillance des processus constituent les principales mesures de protection, dans un contexte de mobilité grandissante des salariés.
Dès qu’une faille est connue, qu’elle soit rendue publique par l’ANSSI ou l’objet d’un exploit, elle impose une réaction rapide. Dans ces cas, patcher ne pose pas débat : les mises à jour d’applications ou des systèmes d’exploitation sont automatiques ou poussées par la DSI, et tout va (généralement) bien, même si ce n’est pas suffisant.
En revanche, l’absence (ou l’insuffisance) de réaction peut avoir des répercussions énormes, comme l’a montré notPetya. On aurait légitimement pu penser que les conséquences de Wannacry, qui visait l’extorsion par chiffrement de données des PC, auraient servi de leçon. Malheureusement, seulement 2 mois plus tard, une autre attaque (notPetya) utilisant le même exploit a causé des milliards d’euros de pertes de production, montrant bien que le patch poussé par Microsoft n’avait pas été installé partout.

Patcher ou non : les cas où il y a débat

En revanche, il n’est pas toujours possible de patcher. Un client avait par exemple investi dans un S7-1500, un automate de dernière génération chez Siemens. Suite à la détection d’une faille, l’automaticien a suivi les recommandations de la note de sécurité précisant la mise à disposition d’un patch par l’éditeur. Passons sur la problématique liée au fait de devoir s’enregistrer pour récupérer les patchs chez Siemens alors même que vous êtes déjà client(1)… Le patch est finalement récupéré mais… impossible à installer car la version de matériel est incompatible. Après un appel au constructeur pour trouver une solution, la réponse est non équivoque : « il faut changer l’équipement ». Autant dire que pour l’automaticien, qui en possède quelques milliers sur ses lignes de production, la solution devra être ailleurs !
Le problème se pose également pour les produits sur lesquels les éditeurs et fournisseurs ont annoncé qu’aucun correctif ne serait apporté aux failles. C’est ce qu’on appelle le Forever-day. Les anciens modèles d’automates comme le S7-300 sont concernés mais aussi du matériel plus récent qui ne dispose pas de sécurité. Petite anecdote sur ce point : j’avais un consultant junior en sécurité qui avait acheté un M221 pour essayer de casser le mot de passe. En vain, car ce modèle en est dépourvu !

Changer d’approche pour l’OT

Malheureusement, les cas évoqués précédemment ne représentent que la partie émergée de l’iceberg. Se focaliser sur les vulnérabilités connues, corrigées par des patchs, n’a en réalité pas de sens puisque plus de 99 % d’entre elles n’ont pas été découvertes, beaucoup d’équipements n’ayant jamais fait l’objet d’une évaluation ou d’un pen-test.
Tout hacker amateur motivé peut donc compromettre un système, d’autant plus si la cible applique rarement les mises à jour de sécurité ou si l’architecture et les composants utilisés dans un site industriel sont connus. L’attaque ayant eu lieu en 2015 sur une centrale électrique d’Ukraine et ayant causé une coupure de courant pour des centaines de milliers d’Ukrainiens l’illustre bien. Après avoir récupéré les informations sur les composants, notamment via le site d’un prestataire qui a publié sur internet les équipements installés, l’attaque (probablement étatique) a pu être menée pour exploiter les failles de ces équipements.
Il suffit d’acheter le composant d’occasion, de le tester et un attaquant trouvera en moyenne une demi-douzaine de vulnérabilités faciles à exploiter. Ne reste plus qu’à planifier tranquillement l’attaque sur ce composant, sans vulnérabilité connue, pendant que l’exploitant se focalise sur les composants identifiés comme vulnérables.

Alors que faire ?

Se focaliser sur les vulnérabilités identifiées revient finalement à mettre des œillères. Il faut bien sûr patcher quand possible, notamment les systèmes échangeant avec l’extérieur. Cependant la segmentation des réseaux, mettre les machines dans une salle à contrôle d’accès (sécurité physique) ou le virtual patching et les pare-feux applicatifs représentent des solutions complémentaires indispensables.

(1) Edit du 30 nov. : un contact Siemens m’a expliqué hier qu’ils se passeraient volontiers de cette procédure qui entraine un délais, mais c’est règlementaire et lié à l’export de technologies de chiffrement (incluses dans les firmwares) – il est obligatoire de créer et vérifier l’identité des personnes téléchargeant les fimwares…

Tags: ,

2 Commentaires sur “L’addiction au patch”

  1. Quelques pistes:
    *détecter les comportements anormaux (apprentissage des usages dit « normaux »)
    *cartographie à jour
    *partir du scénario le plus critique, le plus menaçant et en déduire des solutions de protections
    *avoir un bon management du risque (pra, …)

    • Patrice Bock dit :

      Bonnes pistes en effet, l’article n’avait pas l’ambition de traiter toutes ces pistes mais d’autres articles les détaillent. A noter que concernant « détecter les comportements anormaux », malheureusement d’expérience vue la faible maîtrise des réseaux industriels (les systèmes connectés, a fortiori les flux), il faut de gros efforts avant d’arriver à une situation suffisamment maîtrisée pour utiliser les nouveaux outils de détection adaptés aux SI indutriels (Sentryo, Cypres pour les français…), qui fonctionnent en effet par écart au comportement normal.

Répondre à Patrice Bock

Note: Vous êtes responsable de vos commentaires, veillez à rester courtois et factuel. En postant votre commentaire, vous accordez de fait un droit de diffusion à Secur'id.