Internet of Threats
L’inactivité apparente (bon ok… réelle) de ce blog ces derniers mois cache un regain d’activité bien réel sur le terrain, en droite ligne du dernier article en date. Cependant vue l’actualité et les événements à venir, il devenait urgent de faire un billet…
Evénements
Il est juste temps de vous inscrire à l’un des événements de cet automne, la sélection ci-dessous comportant des intervenants et papiers qui apportent des nouveautés ou clarifient des concepts :
- séminaire ISA-France « Sûreté et sécurité de fonctionnement des systèmes critiques » sur le campus de la Doua, Villeurbanne le 20 Octobre (ouvertes à tous sur inscription payante);
- journée technique « Cybersécurité des systèmes industriels » à la Gare de l’Est, Paris le 5 Novembre (pour les adhérents) ;
- journées C&ESAR « Résilience des systèmes numériques » à Rennes, les 23 au 25 Novembre (ouvertes à tous sur inscription payante) ;
Tous ces événements sont organisés par des associations non liées à un prestataire de sécurité ou un fournisseur précis, ce qui assure une certaine objectivité et surtout permet de présenter des travaux effectués par des chercheurs, avec prise de recul par rapport à l’actualité. De nombreux autres événements sont organisés sous forme de conférences, formations ou autres événements : ils sont utiles aussi mais en général s’adressent aux néophytes. Vous trouverez dans vos journaux et newsletters de vos fournisseurs préférés les informations relatives à ces événements.
Jeep
A propos de journalistes, si vous n’étiez pas sur Mars en août vous avez vu passer l’annonce du hack d’une Jeep par deux chercheurs, qui ont pris le contrôle de systèmes d’assistance à la conduite à partir d’internet (plus précisément du réseau mobile).
Cela donne un assez bon aperçu de ce qui nous attend avec l’IoT : Internet of Things (objets connectés) selon ses promoteurs, Internet of Threats, selon les affranchis de la sécurité.
En effet cet exemple est symptomatique de l’état de l’art des systèmes embarqués « grand public » : utilisation d’OS standards (dans le cas Jeep QNX est peu connu du grand public mais beaucoup plus des automaticiens), interconnexion des systèmes sur des réseaux ouverts « internes », mais aussi connectivité internet pour plus de fonctionnalités. A cela se rajoute l’absence d’exigence de sécurité au démarrage du projet, et on arrive naturellement à une situation où les systèmes critiques (pouvant faire tourner le volant et appuyer sur les freins dans le cas présent) se retrouvent connectés à l’ordinateur de bord, lequel est connecté au système de divertissement embarqué, lequel est connecté sur internet. Pour le hacker qui trouve le point d’entrée internet, c’est alors possible (quoique pas facile) de remonter la chaîne de systèmes en exploitant les failles de chaque équipement et l’absence de segmentation.
Cloisonnement
J’en arrive à ce sujet sur lequel j’aurais voulu faire un article complet : la plupart des incidents graves de sécurité résultent d’absence de cloisonnement entre systèmes. Si le Titanic n’avait pas coulé ce serait le parfait exemple de l’efficacité du cloisonnement face à des failles, mais le principe reste valide car le cloisonnement dans ce cas avait permis de ralentir significativement le naufrage, permettant l’évacuation (partielle, vous avez vu le film !).
Sur le terrain, l’état des lieux est toujours et encore la présence d’interconnexions fortes entre réseau industriels (sûreté et conduite), voire entre sites, et quelquefois avec le réseau de gestion (et donc, comme sur la Jeep… avec l’internet via les PC de bureau). Sans parler des connexions directes de tiers sur des systèmes critiques pour la maintenance distante : le hacking majeur de la société Target, via une telle connexion (fournisseur de climatisation), a démontré le risque que cela représente.
Il faut absolument évaluer le risque lié à l’interconnexion des réseaux, intégrer les concepts d’architecture sécurisée (envoyer les architectes SI industriels en formation sécurité !), revoir si besoin les contrats de sous-traitance et les clauses standards pour tout ce qui est relatif à la maintenance à distance, et, après études et si besoin, mettre en place du cloisonnement avec des solutions type VLAN / pare-feux…
Bouquin
Sur le même sujet : à noter la publication aux éditions Cepaduès d’un ouvrage qui fait l’état des lieux de la cybersécurité des SI industriels, que l’on peut aussi trouver sur amazon.
A noter une illustration amusante des IoT : http://www.geekculture.com/joyoftech/joyimages/2340.png
A quand la diode miniature Bus CAN vers Ethernet pour voiture (et avion/train ? Cela fait encore plus peur vue l’engouement pour mettre à disposition internet aux voyageurs…)
Vive le vélo (non connecté bien sur) !