Conférence ACS 2011 : confirmations et nouvelles alertes
La conférence « Advanced Controller Systems » traite de la cybersécurité du contrôle-commande. Elle est organisée annuellement par Joe Weiss, et la session de 2011 vient de se tenir du 20 au 22 septembre.
Cette conférence a confirmé l’ampleur des découvertes de failles dont je me suis fait l’écho sur ce blog, avec les réactions de certains éditeurs et des autorités etats-uniennes.
Par ailleurs, de nouvelles alertes sont lancées : différentes sources ont fait état de tentatives multiples d’intrusion dans des systèmes de contrôle-commande, dont certaines avec succès.
Je reprends ici les points-clés des interventions en les mettant en perspective. Les versions originales (en anglais) des points clés proviennent du blog de Joe Weiss.
Revue de l’actualité depuis l’an dernier
Ralph Langer a rappelé les points clés concernant son analyse de Stuxnet (présentée sur son blog), et confirmé que de nombreuses vulnérabilités sont « génériques » et peuvent être utilisées contre de nombreuses cibles (pas seulement Siemens), et souvent avec des « exploits » réduits à quelques lignes de code, et difficiles à contrer.
- NDLR : la thèse développée par Herr Langer, et partagée par d’autres experts, est que Stuxnet a non seulement servi de « proof of concept » démontrant les possibilités de cyber-attaques industrielles, mais a également diffusé un ensemble de code ré-exploitable : le code « source » de Stuxnet est en effet disponible sur internet (en réalité, il s’agit « désassemblage » en C, peu exploitable directement dans la version diffusée).
Une démonstration d’attaque et de détection d’intrusion sur un protocole série a été faite.
- NDLR : Joe Weiss communique sur le risque lié aux attaques sur les protocoles série. Il est un peu seul à le faire, en effet, la nécessité de localisation physique à proximité des équipements attaqués en fait objectivement un vecteur d’attaque improbable.
Etat des lieux et réactions des différents parties
Voici une sélection des informations présentées lors de la conférence sur ces sujets :
- Un « électricien » (i.e. une société opérant des centrales) états-unien a indiqué aller au delà de NERC CIP à la demande de son comité exécutif.
- Un électricien européen a indiqué avoir trouvé des virus dans son réseau industriel, et indique que son fournisseur de turbine refuse ses exigences de sécurisation de leur pilotage.
- Des statistiques présentées par un Mr. Baker indiquent que seulement 16% des fournisseurs d’énergie états-uniens avaient été audités par le gouvernement, contre 75% en Chine et 100% au Japon.
- Rockwell (dont de nombreuses failles sont été publiées de manière « non concertée » par Luigi Auriemma et continuent d’être découvertes) a présenté un plan pour les traiter.
- Un député US (James Langevin) considère que l’industrie électrique aux US ne fait pas les efforts nécessaires en termes de cyber-sécurité industrielle.
- Enfin, un autre électricien a détaillé les modalités et résultats d’un test d’intrusion effectué sur son installation, et a confirmé le succès du piratage d’automates sous VxWorks.
Attaques : tentatives en augmentation, et « succès »
Marcelo Branquinho a présenté son analyse de l’attaque de deux aciéries au Brésil, et a fait la démonstration de l’injection de logiciel malveillant dans un système SCADA malgré la présence de logiciel anti-virus.
- NDLR : cela ne fait que confirmer que la mise en œuvre d’anti-virus en environnement industriel, qui est délicate, n’est de toutes façons pas la panacée.
La rupture d’un gazoduc en Californie (San Bruno, sept. 2010, plusieurs morts, dégâts considérables, voir l’article anglais sur wikipedia) est analysée comme un cyber-incident. L’incompétence dans ce domaine de l’opérateur (PG&E) et du régulateur (California Public Utilities Commission) sont largement mis en cause.
Un ancien agent des services secret a confirmé que des cyber-extorsions ont bien été réalisés, avec succès, sur des équipements de contrôle-commande, et a regretté qu’il n’existait pas aujourd’hui de moyen de partager les leçons tirées de ces expériences.
- NDLR : ceci a été confirmé depuis par une communication inquiétante du DHS jeudi 29 septembre. En effet, le CERT ICS a annoncé avoir traité en 2010 116 requêtes d’assistance suite à des tentatives d’intrusion sur les systèmes industriels, et déjà 342 à date (i.e. fin septembre 2011) :
- La connexion croissante de systèmes industriels à l’internet est considérée comme une des principales causes de cette augmentation, amplifiée par l’intérêt croissant des hackers – voir l’article en anglais sur ce sujet.
- Greg Schaffer, sous-sécrétaire du DHS, a commenté ces informations (dans une intervention décrite dans un article de Bloomberg) en indiquant que les ennemis de la nation (« nation’s adversaries ») testent systématiquement tous les systèmes d’un certain nombre de cibles (qu’il n’a pas indiquées) et sont parvenus à s’y introduire à plusieurs reprises.
- Enfin, une initiative du gouvernement d’Obama et une commission parlementaire républicaine travaillent à faire des propositions dans le sens d’une progression du cadre règlementaire de cyber-sécurité s’appliquant aux infrastructures critiques… à suivre !
Conclusion
Cette conférence confirme la réalité du risque et de son augmentation. Une des dernières interventions confirme une information inquiétante déjà diffusée (notamment dans cet article de Ralph Langer), à savoir le changement de philosophie du DHS et donc du CERT ICS, qui ne considère plus les problèmes de « design » logiciel comme des vulnérabilités, mais uniquement les « bugs ». La conséquence est que les alertes ne concerneront plus que ces dernières. Ce qui ne fait aucun sens d’un point de vue du risque puisque cela offre des possibilités équivalentes d’attaque des automates et systèmes de supervision.
En conclusion, si les représentants américains semblent vouloir faire progresser la cybersécurité, la déclinaison dans les institutions et chez les industriels et fournisseurs ne semble toujours pas d’actualité.