Alertes récentes concernant la facilité de mener des attaques de type « Stuxnet »
Deux auteurs ont récemment publié des alertes concernant la possibilité d’utiliser le code de Stuxnet, ou plus exactement, sa méthode d’injection de code dans les automates, sans avoir besoin d’aucune connaissance technique SCADA ou automates.
Dillon Berresford a ainsi démontré ce printemps la possibilité d’utiliser des attaques de type « Replay » sur des automates Siemens S7, et, pour sa part, Ralph Langer a détaillé le code pouvant être ainsi injecté, pour programmer une « bombe logique ».
Attaque des automates S7 par replay
Dillon Berresford a ainsi fait la preuve de la possibilité d’accéder au code de nombreux modèles d’automates Siemens S7, par une attaque de type « replay » : après qu’un système légitime se soit authentifié auprès d’un automate, il est possible de se faire passer pour ce système, en rejouant avec modification les trames réseaux de ce précédent échange – que l’on aura donc préalablement interceptées. Je développerai dans un article ultérieur un petit rappel sur ce type d’attaques, et la facilité à les mettre en œuvre en environnement industriel, preuve à l’appui !
Le CERT ICS a d’ailleurs émis une alerte le 5 Juillet suite à ces découvertes de Mr Berresford : ICS-ALERT-11-186-01— PASSWORD PROTECTION VULNERABILITY IN SIEMENS SIMATIC CONTROLLERS S7-200, S7-300, S7-400, AND S7-1200. Une présentation a été faite à la conférence « Black Hat » de cet été.
Utilisation de ce type d’attaques pour programmer des pannes
Ralph Langer illustre cette attaque avec son article du 21 Juillet « A time bomb with fourteen bytes« , où il montre qu’un minimum d’efforts permet de programmer dans un automate sa mise en panne à une date donnée. Il conclut que ces attaques sont tellement faciles à mettre en œuvre qu’on devrait bientôt les trouver sous forme de petits scripts mis à disposition par internet. Cela signifie que ces attaques, capables de mettre en panne des installations industrielles, sont à portée des « script kiddies », ces hackers sans connaissance aucune de la technique, qui essaient d’attaquer des systèmes comme s’il s’agissait d’un jeu video.
Que retenir de ces nouvelles alertes ?
Ces attaques sont effectivement très simples à mettre en œuvre… à condition d’avoir un accès physique au réseau informatique industriel, et de ne pas avoir à craindre d’être pris, ce qui fait tout de même deux conditions limitant fortement les risques. Néanmoins, on peut imaginer des scénarios plausibles : celui de l’employé frustré, avec quelques compétences réseau, qui positionne une bombe à retardement (« time bomb ») comme imaginé par M. Langer. Pour peu que l’action soit préméditée, il est improbable de pouvoir retrouver l’auteur, et même si on peut suspecter cet ancien employé, il sera difficile d’apporter la preuve.
Par ailleurs, ces attaques visent uniquement les automates Siemens. La nouveauté, dans la démonstration de Mr. Berresford, est que cela concerne une large gamme d’automates. C’est d’ailleurs ce qui l’a récemment amené à revenir sur sa précédente position, où il louait les efforts mis en œuvre par Siemens pour répondre aux failles de sécurité depuis Stuxnet.
L’attention actuellement portée à Siemens conduit naturellement à trouver des failles sur leurs équipements, mais il est possible qu’en réalité les produits des autres fournisseurs (Rockwell, Schneider etc.) comportent également des failles : on ne trouve que ce que l’on cherche.
L’accélération, depuis ce printemps, des publications et alertes sur les systèmes SCADAs, force à anticiper sur ce qui pourrait être rendu public dans les mois qui viennent, sans parler des « black hat hackers », qui cherchent des failles pour les exploiter pour leur compte, sans les rendre publiques.
C’est donc l’occasion, pour les responsables de sites industriels critiques, de se pencher sur la situation de leurs installations, pour au moins avoir connaissance du niveau de risque en fonction des failles actuellement connues (donc en particulier si utilisation de Siemens), et si possible d’anticiper un peu sur l’évolution des risques et de prévoir de consacrer un pourcentage de leur budget à des mesures de cyber-sécurité !
N.B. document modifié 14 nov – correction sur la gamme des automates Siemens : S7
Ces alertes montrent aussi (il me semble) que la menace croissante sur les réseaux industriels n’est pas la connexion à l’internet, tellement fustigée il y a encore peut de temps – puisque stuxnet est la démonstration qu’il n’y a pas besoin de connexion internet pour attaquer un site.
Dans le passé de nombreux accidents industriels étaient dûs à des connexions internet mal sécurisées, voire l’accès via http sur internet (Cf autres présentation de cette dernière conférence blackhat).
Aujourd’hui, il faudrait peut-etre plutpt installer des anti-virus etc… avec mises à jour automatiques !
J. B.
[...] article de ce blog revient sur cette [...]
Oublié le lien : http://www.computerweekly.com/Articles/2011/08/08/247546/US-standards-body-issues-warning-to-energy-suppliers-over-cyber.htm
N.B. le CERT ICS prend ces alertes au sérieux, et le NERC est en train d’envoyer des instructions aux usines de production d’électricité aux Etats-Unis et au Canada – quid de la France ???