Extrait de l'article de Jean-Marc Manach : Les compteurs “intelligents” : des bombes à retardement ?
Créés pour permettre le contrôle à distance et la surveillance de processus industriels, la télégestion de systèmes d’approvisionnement, de transport et les canalisations de produits chimiques, de gaz, de pétrole, d’eau et d’électricité, les systèmes SCADA sont souvent perçus par les spécialistes de la sécurité informatique comme un maillon faible qu’auraient beau jeu d’exploiter des cyberterroristes, pirates informatiques ou hackers militaires.
En 2007, le projet Aurora avait ainsi démontré la possibilité de pirater le système SCADA d’un générateur électrique afin d’entraîner son autodestruction. Or, et comme le souligne l’un des experts interrogés dans ce documentaire de CBS, ces générateurs coûtent très cher, ils ne sont plus fabriqués aux Etats-Unis, et il faudrait des mois pour s’en procurer d’autres ou les réparer, ce qui aurait des conséquences non seulement économiques, mais également politiques :
En 2008, le Club de la Sécurité de l’Information Français (CLUSIF) évoquait, dans une étude sur les Enjeux de sécurité des infrastructures SCADA (.pdf), plusieurs explosions dans des usines chimiques, le fait que des sites nucléaires, guichets automatiques bancaires, systèmes de signalisation ferroviaire avaient été perturbés par des vers informatiques, entraînant, dans un cas, l’arrêt de 13 usines d’assemblage de véhicules, dans un autre l’arrêt d’une station nucléaire. La présentation évoquait également plusieurs actes de malveillance ayant perturbé des feux de signalisation, systèmes d’approvisionnement en eau, et même la prise de contrôle et le déraillement, par un adolescent, de 4 wagons.
Dans une intervention intitulée Electricity for Free ? (.pdf) présentée lors du dernier Black Hat (l’un des symposiums les plus réputés en matière de sécurité informatique), en juillet dernier, Jonathan Pollet, spécialiste de la sécurité SCADA chez Red Tiger Security, a expliqué avoir identifié 38 000 problèmes de sécurité, lors de 100 audits, effectués sur 10 ans.
Alors que la “durée de vie” (c’est-à-dire le temps avant qu’il ne soit infecté ou compromis) d’un ordinateur non protégé est estimée à 4 minutes, pour Jonathan Pollet, “les systèmes SCADA sont bien moins sécurisés que les systèmes informatiques“.
Au cours de ses audits, il a ainsi trouvé, sur des ordinateurs reliés à des systèmes SCADA, toute sorte de programmes qui n’avaient rien à y faire, mais qui pouvaient a contrario servir de vecteur ou de relais d’attaques : logiciels P2P ou de messagerie instantanée, scripts de téléchargement de vidéos pornographiques, et même des chevaux de Troie et autres “malwares“.
“Ce n’est qu’une question de temps : d’ici peu, nous assisterons à bien plus d’attaques ou d’incidents sur des réseaux SCADA du fait de l’absence de mesures de sécurité, ou de systèmes de défense mal configurés. Il faut nommer des responsables sécurité de ces systèmes. C’est une bombe à retardement.”
Découvert en juillet dernier, le vers Stuxnet serait le premier virus expressément créé pour infecter les systèmes SCADA. 60% des systèmes infectés auraient été situés en Iran. Pour Raphaël Marichez, de la société de sécurité HSC, Stuxnet constituerait “un tournant“, ouvrant la voie à “des virus exploitant des vulnérabilités “grand public”, avec la complicité de grandes firmes étrangères, pour cibler un système industriel précis“.
A défaut de connaître son auteur, et donc savoir s’il s’agit bel et bien d’une tentative d’espionnage industriel, voire d’espionnage tout court, on notera que, toujours cet été, un rapport du ministère de l’énergie américain constatait que les infrastructures énergétiques américaines étaient vulnérables à des attaques informatiques, faute d’effectuer correctement les mesures basiques de sécurité censées les protéger, ou encore parce qu’elles sont reliées à l’internet, utilisent des systèmes d’exploitation grands publics, et des ordinateurs improprement sécurisés.
Stuxnet exploitait ainsi une faille Windows, et se propageait via des clefs USB préalablement contaminées (via l’internet, ou sciemment), dès lors qu’elles étaient connectées au PC, même si celui était pourtant à jour en terme de correctifs de sécurité. En 2009, la Marine nationale française avait ainsi dû couper son réseau après avoir été contaminée par un virus, introduit via une clef USB dans son système Windows, pourtant déconnecté du Net.
Ross Anderson et Shailendra Fuloria ne s’intéressent pas tant aux systèmes SCADA, mais à ces compteurs “intelligents“ (les guillemets sont de rigueur, lorsque l’on commence à doter d’”intelligence” des boîtiers électroniques), censés permettre d’effectuer des économies d’énergie et dont le développement est activement soutenu, outre-Atlantique, dans le cadre du plan de relance américain (qui y investit 3,4 milliards de dollars), et en Europe par une directive européenne de 2009, qui prévoit d’en équiper 80% des foyers à l’horizon 2020. On dénombrerait ainsi, à ce jour, quelque 250 projets de compteurs “intelligents“, 49 millions d’ores et déjà installés, et 800 millions en préparation.
