Sécurité informatique : Siemens contre-attaque

Face aux risques que courent de nombreuses usines de production qui utilisent des connexions Internet et des logiciels standard, Siemens propose des solutions sécurisées.


Sur une chaîne de montage, un robot déplace les châssis des voitures entre deux postes de travail. Selon l’informaticien, le système de commande du robot est entièrement protégé des attaques de hackers. « Nous disposons de mots de passe, d’un système de cryptage et d’un firewall totalement sûrs », précise-t-il. Pourtant, un hacker vient bel et bien d’entrer dans le système en accédant à la page d’accueil de contrôle de la production, suite à une simple recherche Google. Il essaye des mots de passe en vain, puis exécute une « injection SQL ». Il copie le code de programme et manipule la base de données contenant les informations de sécurité. Le hacker pénètre alors le système de contrôle de la chaîne de montage et ordonne l’arrêt du mouvement du robot, qui ouvre alors son bras de serrage, entraînant la chute d’un élément de carrosserie sur un ouvrier.

Les lumières se rallument. Un murmure se répand dans l’auditorium. Les 300 personnes présentes au salon Siemens de février 2007 sont abasourdies par la simplicité avec laquelle Konstantin Knorr a réussi à paralyser le système de production de l’usine. Ils sont soulagés, toutefois, que le robot ne soit qu’un accessoire et le blessé un simple Playmobil. Konstantin Knorr, qui souhaite sensibiliser ses collègues aux problèmes de sécurité, fait partie des quelque 70 conseillers en sécurité de Siemens Corporate Technology (CT) à Munich. Inutile d’être un ancien hacker pour remplir cette fonction : il suffit d’être titulaire d’un diplôme universitaire et d’avoir « un sens aigu de la moralité », selon Johann Fichtner, responsable du centre CERT (équipe informatique d’intervention rapide de Siemens). Outre la sensibilisation, les démonstrations de CT visent à promouvoir des mesures de planification sécurisée pour les futurs produits Siemens. Les exigences de sécurité se sont considérablement renforcées alors que les risques d’attaques externes sont multipliés. Les systèmes de contrôle des usines, autrefois isolés de l’extérieur et exploitant des logiciels spécifiques, utilisent désormais des logiciels standard tels que Windows et des bases de données disponibles dans le commerce. Mais surtout, ils reposent davantage sur Internet, notamment pour leur maintenance. Par ailleurs, les durées d’amortissement fiscal des usines, centrales électriques et hôpitaux s’étant allongées, les systèmes informatiques ne sont pas remplacés tous les trois à cinq ans, contrairement aux PC de bureau, et ne disposent donc pas toujours des dernières mises à jour de sécurité.

Des systèmes informatiques fiables pour la distribution d’énergie

La défaillance système survenue en 2003 à la centrale nucléaire américaine de Davis-Besse souligne l’importance de la cybersécurité. Via Internet, le ver Slammer a infecté le réseau informatique et paralysé une partie de son exploitation pendant près de cinq heures, profitant de la vulnérabilité d’une base de données non mise à jour. Par chance, la centrale était fermée pour travaux. Pour éviter de telles attaques, CT offre des solutions de pointe à toutes les entités Siemens, dont Energy Automation, unité de Power Transmission and Distribution (PTD). Il y a deux ans, Bernd Nartmann, chef produits responsable de la sécurité, a demandé au CERT de passer en revue leur portefeuille afin d’identifier les failles sécuritaires potentielles. Une vérification nécessaire, car les clients (notamment de grands distributeurs d’électricité) recouraient de plus en plus aux réseaux publics pour collecter des données et émettre des commandes de commutation. Certains modules dataient de plus de 30 ans, mais « à cette époque, il était impensable de pouvoir les commander via Internet », souligne Bernd Nartmann. Les experts en automatisation et les spécialistes du CERT sont parvenus à améliorer la sécurité de l’ensemble des produits, désormais conformes aux normes de sécurité.

__________________________

Auteur : Bernd Müller