Pirater les systèmes de contrôle, éteindre les lumières !

Avez-vous déjà entendu parler de « Stuxnet » ? « Stuxnet » était une cyber-attaque très sophistiquée contre le programme nucléaire iranien. Comme dans un film d'espionnage, les assaillants ont infiltré l'usine d'enrichissement d'uranium à Nantanz, ils ont fait en sorte que des clés USB infectées soient insérées dans les ordinateurs locaux, et les virus USB ont fait le reste.

 

Le virus exploitait quatre faiblesses distinctes, jusque-là inconnues dans le système d'exploitation Windows - elles auraient d'ailleurs pu être vendues sur le marché noir jusqu'à 250 000 $ chacune. Le virus visait à interrompre la production d'uranium iranien. Dans un premier temps, il a cherché les ordinateurs infectés dédiés à SCADA (Supervisory Control and Data Acquisition), un logiciel de Siemens. Une fois que le virus a trouvé ce logiciel, il a essayé d'identifier tous les composants du système de contrôle, i.e. les PLC (Programmable Logic Controllers) rattachés à ce PC. Si le PLC correspondait à une certaine marque (Siemens S7) et à une configuration, le virus téléchargeait des séquences de code supplémentaires dans ce PLC. Ces séquences étaient fatales : clandestinement et au fil des mois, elles faisaient varier la vitesse de rotation des centrifugeuses d'enrichissement d'uranium. La rotation non constante détériora l'enrichissement de l'uranium et l'usure provoquée rendit les centrifugeuses inutilisables. Les attaquants avaient atteint leur objectif...

Bien que cela semble être un exemple rare et tiré par les cheveux, la réalité est en fait bien pire. Les systèmes de contrôle standard déployés dans les réseaux de distribution d'électricité et de production d'énergie, ou employés dans presque toutes les lignes de production dans le monde (voitures, pétrole, produits chimiques...), ne sont absolument pas protégés. Bien qu'ils utilisent des techniques similaires à celles des PC standard (système d'exploitation Windows, e-mails, web, etc.) et qu'ils se connectent à des réseaux similaires, la « sécurité » n'a jamais fait partie de leur conception et, par conséquent, attaquer les PLC reste facile et direct. Éteindre les lumières en [mettre votre pays favori ici] n'a jamais été aussi facile. Non sans raison, Richard A. Clarke, conseiller du président américain, a déclaré en 2011 que tant que les États-Unis seront en mesure de faire sauter une centrale nucléaire quelque part dans le monde, un certain nombre de pays pourrait riposter par une cyber-attaque et « le système économique américain pourrait être complètement écrasé en représailles... et [ils ne pourraient] pas le défendre aujourd'hui ». Remplacez « américain » par « du monde entier » et vous obtenez la situation réelle.

Qu'en est-il du CERN ? Les accélérateurs, les expériences et l'infrastructure technique sont tous basés sur les mêmes technologies de systèmes de contrôle avec les mêmes inconvénients, vulnérabilités et risques de sécurité. Fait intéressant, nos collègues de l'ex-groupe IT/CO (aujourd'hui EN/ICE) ont créé une variante beaucoup moins sophistiquée de « Stuxnet » déjà en 2004. Des tests dédiés de 2005 à 2007 ont montré qu'un tiers des systèmes de contrôle testés pouvaient être écrasés par une cyber-attaque en quelques secondes. Par conséquent, un groupe de travail stratégique, le CNIC - Computing and Networking Infrastructure for Controls - a été mandaté en 2004 pour améliorer la cyber-sécurité du système de contrôle du CERN. Ce groupe se joint à des représentants de toutes les expériences du LHC, des secteurs techniques et des accélérateurs, ainsi que le département informatique et l'équipe de sécurité informatique. Le résultat a été une politique de sécurité claire des systèmes de contrôle (voir ici) et des actions, par exemple la séparation du réseau des bureaux (GPN) et du réseau de contrôle (TN), et l'interdiction des clés USB sur le TN. Aujourd'hui, le CERN est en contact direct avec plusieurs fournisseurs et organismes gouvernementaux, et collabore avec eux pour améliorer la sécurité des systèmes de contrôle.

Donc, si vous utilisez des systèmes de contrôle, interrogez-vous : votre configuration est-elle sûre ? Avez-vous des contrôles d'accès appropriés ? Mettez-vous à jour régulièrement ? Connaissez-vous la « sécurité » ? Si vous ne connaissez pas ou avez des doutes, rejoignez le « CNIC users exchange » ou contactez-nous via Computer.Security@cern.ch.

Pour plus d'informations, des questions ou de l'aide, consultez notre site web.


Accédez à la collection complète d'articles de l'équipe de Sécurité informatique ici.

par Computer Security Team