NotPetya et ce que ça dit des réseaux industriels
Reprise d’activité de ce blog ! Et comme premier billet, un retour sur Wannacry et surtout notPetya, attaques ayant réussi l’exploit de causer des centaines de millions d’euros de perte suite à l’interruption de lignes de productions dans des usines en France, Angleterre, Allemagne (pour ce qui est documenté, sans doute ailleurs aussi…), alors que les attaques ne ciblaient pas les réseaux industriels…
Wannacry, notPetya, kezako?
Pour ceux qui étaient en congé durant tout le premier semestre 2017, petit rappel… La NSA(1) développe des cyber-attaques, en cherchant et en exploitant (ou en achetant) des failles 0-day, c’est à dire des vulnérabilités de systèmes informatiques non connues du public ni des éditeurs. Parmi celles-ci, l’une a été exploitée sous le nom « EternalBlue », et permettait d’attaquer les systèmes de partage de fichier sous Windows (toutes versions depuis XP). A noter que cette vulnérabilité est toujours exploitée à ce jour…
La NSA s’est fait piquer des données par un groupe de hackers nommé « Shadow brokers », qui a publié tout ça en avril 2017. De nombreux pirates se sont jetés sur cette manne pour créer leurs propres versions du virus, essentiellement à but crapuleux. Ainsi Wannacry, un « rançongiciel » utilisait Eternalblue pour prendre le contrôle de PC Windows, chiffrer le disque dur, et le malheureux propriétaire pouvait récupérer ses données à condition de payer l’équivalent de quelques centaines d’euros en Bitcoin.
Correctifs de sécurité
Microsoft évidemment a publié aussi vite que possible un correctif MS17-010, poussé automatiquement dans les mises à jour Windows Update. Ainsi la vulnérabilité était corrigée et les PC étaient à nouveau protégés.
Les PC sous Windows XP ne reçoivent plus de correctifs depuis des années. Cependant, exceptionnellement, Microsoft a généré un patch pour Windows XP, la première fois depuis, donc, des années.
Malgré cela, le correctif n’a pas atteint tous les PCs. Chez les particuliers, et dans l’informatique des entreprises, la mise à jour a été soit automatique, soit rapidement poussée par la DSI. Mais dans les usines, où on recommande (à raison) de ne pas connecter les systèmes à internet, et où il y a encore rarement des systèmes pour « pousser » les mises à jour sur les postes en production, les PC sont restés vulnérables.
Patatra
Ce qui devait arriver arriva : Wannacry, visant l’extorsion par chiffrement des données des PC de bureautique, s’est retrouvé sur un certain nombre de réseaux de production. Comment ? Plusieurs vecteurs sont possibles : clés USB circulant un peu trop facilement, réseaux peu cloisonnés entre informatique de gestion et SI industriels, voire connexions distantes pour maintenance…
Sur certaines installations industrielles, l’impact a été d’autant plus sévère qu’il y avait de nombreux systèmes Windows (XP, 7, serveurs 2003, 2008…) en réseau, avec peu de segmentation. La presse a mentionné Renault, mais de nombreuses PMI et groupes industriels ont été impactés.
Réaction
Wannacry a permis une prise de conscience : le patch a été appliqué en urgence dans de nombreux sites, et cela a été l’occasion de lancer des programme de sécurité plus globaux. C’était donc l’attaque exceptionnelle qui ferait office de vaccin. Ou pas…
Rebelote 2 mois plus tard
Plutôt pas… la réaction a été très insuffisante à l’évidence, car le 26 juin 2017, une autre attaque, utilisant le même « exploit » EternalBlue, a été utilisée dans le malware qui sera nommé notPetya.
Pourquoi ce nom? Petya est une attaque de type rançongiciel qui a sévi en 2016. notPetya ressemblait à un rançongiciel : chiffrement apparent du disque dur, demande de bitcoins contre clé de déchiffrement… mais en fait n’en était pas un. Le disque dur n’était pas chiffré mais écrasé avec des données aléatoires. La récupération des données était impossible.
Qui fait des attaques « gratuites », qui ne rapportent rien? Pas les Nord Coréens a priori (ils sont fortement soupçonnés d’avoir créé Wannacry)… En fait tout porte à croire que les Russes ont créé l’attaque, du fait de l’objectif et du mode de diffusion du logiciel malveillant. En effet, c’est principalement via la mise à jour piégée d’un logiciel de reporting pour l’administration fiscale ukrainienne Me.DOC, que notPetya s’est diffusé à la vitesse de l’éclair.
Résultat? à nouveau des lignes de production et des systèmes industriels en panne (Maersk, StGobain, la SNCF, Auchan, des équipements médicaux Bayer, Merck…) provoquant des centaines de millions de perte de production (on estime le total largement supérieur au milliard) un peu partout en Europe (et sans doute ailleurs). De nombreuses entreprises travaillent en effet d’une manière ou d’une autre avec l’Ukraine.
Ceci est donc arrivé à nouveau alors que :
- un pays en particulier était ciblé, l’Ukraine
- Microsoft avait diffusé le patch depuis plusieurs mois
- une attaque précédente avec le même « exploit » avait déjà causé des dégâts
- l’attaque était diffusée sur les SI de gestion, pas les SI industriels
Bref, mêmes effets, mêmes conséquences, comme s’il ne s’était rien passé en avril.
Conclusion
Il ne s’agit pas de jeter la pierre aux industriels, car ces incidents malheureux, à répétition, sont simplement révélateurs de l’inertie des SI industriels, conçus pour durer longtemps et évoluer lentement. 2 mois pour réagir c’est beaucoup trop court en réalité.
Et accessoirement, l’état des réseaux industriels explique également ces incidents. Ils encore sont très souvent « à plat » (tous les équipements peuvent communiquer avec tous les autres), voire interconnectés sans suffisamment de précautions aux autres réseaux industriels (sous-traitants, fournisseurs) ou de gestion.
De nombreux industriels ont lancé des programmes de sécurisation, notamment dans la chimie, secteur jusqu’à présent relativement épargné mais dont on commençait à s’inquiéter de l’inertie (vu le risque de sécurité industrielle…). Enfin, du moins en France et en Allemagne où des budgets ont été dégagés. Il faudra un peu de temps mais au moins les actions sont en cours.
La prochain Wannacry ou notPetya mettra sur le devant de la scène les acteurs qui décidément n’ont pas compris, espérons le plus loin possible de nos villes !
(1) National Security Agency – agence étasunienne dont les activités de collecte massive d’information et le développement « d’outils » de hacking a été rendu public notamment du fait des publications par Wikileaks