Le consultant en sécurité est par définition un être cynique, voir blasé. Il constate tous les jours de nombreuses lacunes dans la protection des systèmes d’information sans que les dirigeants ne se sentent particulièrement concernés.
Aussi à chaque exploit médiatisé, on ne peut s’empêcher d’espérer que cela fera peut être réfléchir quelques décideurs. Tiens, Stuxnet par exemple, exploitant une vulnérabilité dans un SCADA Siemens nous a amené à croire que la sécurité “TI” des SCADA prendrait de l’ampleur et que des moyens conséquents seraient déployés afin que la prochaine fois ce ne soit pas l’alimentation électrique ou le contrôle des barrages fluviaux d’un pays occidental qui ne soit visé….
Et bien non.
Plusieurs années après Stuxnet, les lobbys industriels du secteur sont suffisamment fort et aveuglés par l’appât du gain à court terme pour qu’ils continuent à ne pas vouloir patcher leurs équipements. Et le pire, c’est que le congrès américain n’a pas réussi à imposer aux infrastructures sensibles d’arrêter d’utiliser ces équipements vulnérables connus et identifiés dans le framework Metasploit (on croit rêver..), se heurtant à la résistance de ces lobbys. Je ne parle évidemment même pas des gouvernements européens qui en sont encore à réfléchir sur la manière de coincer M. machin qui a téléchargé une centaine de pauvres MP3 ou vidéos sur son ordinateur….
Quand on suit l’actualité en cybercriminalité, tous les experts nous disent que la tendance actuelle et future sera d’attaquer les SCADA pour en retirer un moyen d’extorsion particulièrement juteux.
Conscient de cette menace, les états renforcent leurs structures de veille et d’alerte, leur sensibilisation vis à vis des éditeurs et leurs messages rassurants vis à vis des clients.
Bien évidemment, les éditeurs nous promettent des solutions de plus en plus fiables…
Et pourtant, nous continuons à découvrir des pépites tout bonnement sidérantes qui font frémir. Ainsi, un chercheur vient de découvrir dans un module de commande à distance de SCADA (Schneider Electric Quantum Ethernet Module) une faille d’amateur. Ce module activait par défaut un serveur FTP avec des mots de passe écrits en dur dans le système !! Franchement, il serait temps que l’on réfléchisse au contrôle que devrait exercer les états sur la résistance software des équipements reliés à des systèmes de type SCADA touchant potentiellement l’ordre public !
Au moins quand CISCO publie une liste de failles dans ses équipements, on constate que le niveau de celles-ci sont un peu moins minables…
25% des entreprises responsables d’infrastructures critiques (pétrole, eau, gaz, électricité) interrogés dans le cadre d’une enquête réalisée par le Center of Strategic and International Studies (CSIS) ont reconnu avoir fait l’objet d’une tentative d’extorsion de fond par chantage informatique.
C’est un des chiffres qui ressort de cette enquête rendue public par McAfee. Ce chiffre me semble particulièrement intéressant car il met en avant, encore un peu plus, la montée de la criminalité du Web. En effet, les pirates s’intéressent de plus en plus non pas au gain de l’information mais plus encore au gain potentiel de l’argent. Par conséquent, l’obtention de données ou d’un accès illégitime n’est plus un acte de bravoure prouvant son ingéniosité, mais bien un moyen de gagner de l’argent soit en revendant sur Internet soit en menaçant de le faire.
Le fait qu’il s’agisse d’infrastructure critique ne doit étonner personne. Qui plus que le superviseur d’un barrage hydroélectrique intérêt à payer le pirate qui menace de révéler sa capacité à ouvrir les vannes à distance ? La confidentialité de ce type de chantage a encore de beaux jours devant elle, d’autant plus que les législations aggravant de plus en plus le délit de manque de protection de ce type de système d’information vont rendre ces entreprises de plus en plus désireuses de s’arranger à l’amiable !
Et oui, quand on lit la nouvelle absolument hallucinante du monde informatique sur la faille actuelle touchant les systèmes SCADA de chez Siemens, on pourrait effectivement imaginer que leur RSSI est en train de chercher du boulot.. En effet, on apprend que les SCADA de chez Siemens, en plus de posséder un mot de passe par défaut utilisé par un ver très ciblé ne peuvent pas en changer !! Imaginer, on vous livre une livebox avec le mot de passe admin par défaut fixé à admin et en plus vous ne pouvez pas le changer, au risque de “désactiver tout le système si le mot de passe n’est plus reconnu“.
Ce qui est très drôle dans mon exemple tout à fait farfelu de la Livebox, c’est que pour une simple box personnelle aujourd’hui plus personne ne peut imaginer ce cas de figure (autrefois courant il est vrai). Pourtant, sur un système professionnel, hautement critique et onéreux pour les entreprises, on y est encore confronté aujourd’hui ! Pourquoi ?
A mon sens on retrouve (comme souvent) les constats suivants :
- La sécurité informatique est encore, en entreprise, trop éloignée des opérationnels et de la production. Enfermée dans sa tour d’ivoire remplie de certifications ISO et de bonnes pratiques, elle en oublie parfois des pans entiers de son action par sa méconnaissance du terrain;
- la sécurité informatique est la dernière roue du carrosse. Soyons honnête, Siemens n’est très certainement pas le seul fabricant de Scada à mettre en production des machines aussi vulnérables. Et si chez Siemens désormais une recherche accrue des vulnérabilités devrait être mise en oeuvre, je doute que ses concurrents en fasse de même tant qu’ils n’auront pas subis des pertes financières directement liées à la sécurité informatique. La sécurité informatique est encore trop considérée comme une empêcheuse de tourner en rond qui ne fait que ralentir un process.
- les systèmes industriels de type Scada (mais ils ne sont pas les seuls) n’ont pas fini de faire parler d’eux. Le code malveillant touchant Siemens ne “fait que” prélever de l’information sans doute à des fins d’espionnage économique. Dans le cas d’un scénario plus destructeur ce sont des interruptions de service qui risquent de se produire. Ce type de scénario ne doit définitivement plus être considéré comme de la science-fiction au vu du niveau de sécurité pitoyable affiché par les Scada.
Derniers commentaires