Anticiper les intrusions

Stuxnet a clairement révélé que les infrastructures industrielles n’étaient pas à l’abri des hackers. Siemens développe des stratégies en réponse aux nouvelles menaces en provenance d’Internet, notamment la mise à disposition plus rapide de mises à jour de sécurité.

Le 15 juillet 2010, Siemens apprenait l’existence d’un nouveau virus informatique : un cheval de Troie visant les ordinateurs Windows et s’activant uniquement en présence du > logiciel d’automatisation Siemens Simatic. Une semaine plus tard, Siemens avait déjà développé un programme supprimant ce virus. Et début août, Microsoft avait réussi à corriger la vulnérabilité de son système d’exploitation Windows. A la fin de l’année 2010, 24 clients Siemens à travers le monde avaient rapporté la présence du cheval de Troie sur leurs systèmes. Ce dernier a pu être systématiquement éliminé sans impact sur les solutions d’automatisation concernées.

Anticiper les intrusions
Les sites industriels supervisés et commandés à distance ne cessent de se multiplier. Or, plus la conception des logiciels est ouverte et les interfaces nombreuses, plus le risque d’intrusion est élevé.

Néanmoins, les experts IT étaient en alerte. « Stuxnet est le tout premier virus conçu pour s’attaquer directement aux processus de production », commente Johann Fichtner, responsable de l’équipe Siemens CERT de cyber-sécurité, en charge de contrer les actions des hackers. De toute évidence, Stuxnet a été développé par de véritables professionnels qui y ont consacré un temps et des efforts considérables. Des rumeurs suggèrent même que ce virus avait pour seul objectif de détruire les centrifugeuses des installations d’enrichissement d’uranium de la centrale iranienne de Natanz. Rares sont ceux qui connaissent la vérité, mais cet incident a dévoilé l’éventualité de différentes menaces. Des programmes malveillants pourraient en effet paralyser entièrement des infrastructures en interrompant les processus des centrales électriques, des sites de production et des systèmes de gestion de la circulation.

L’attaque de Stuxnet n’a pas réellement surpris Johann Fichtner dans la mesure où la probabilité de ce type d’incident est connue de longue date. De nombreux spécialistes espéraient malgré tout que les pare-feu entre les réseaux publics et internes bloqueraient toutes les agressions exploitant Internet. Cependant, Stuxnet se propage également via des clés USB infectées. « En théorie, des millions d’installations pourraient être menacées », précise Johann Fichtner. Les motivations des hackers sont multiples, de l’espionnage industriel au sabotage. Alors qu’il s’agisse de manipulation des données ou d’un virus, l’industrie doit être prête à faire face à toutes les menaces informatiques.

Accès aux données de production

Plusieurs tendances de l’automatisation industrielle font désormais le jeu des hackers. Tout d’abord, la stricte séparation entre le monde du bureau et le monde industriel, où machines et installations sont commandées par des programmes spécifiques, s’estompe peu à peu, tant sur le plan physique que logiciel. Ce phénomène est dû au fait que les opérateurs souhaitent superviser les sites à distance, tandis que les équipes opérationnelles exigent un accès aux données de production en vue de calculer les coûts en toute transparence, par exemple. Ainsi, de plus en plus d’infrastructures sont connectées à Internet et indirectement contrôlées par des systèmes d’exploitation de bureau. Les experts sont donc confrontés à un dilemme. « Les clients veulent que nous basions nos applications sur des normes ouvertes. Il nous faut évidemment nous plier à leurs demandes », explique Georg Trummer, responsable de la sécurité IT chez Siemens Automation. « Mais cela nous expose aux problèmes de sécurité caractéristiques des PC. »

Une autre évolution laisse présager une augmentation du nombre d’attaques : les cyber-invasions sont de plus en plus ciblées. Autrefois, les virus agissaient au hasard. Les hackers visaient le plus grand nombre d’ordinateurs sur Internet en espérant atteindre une faille de sécurité. Aujourd’hui, les cyber-criminels ont recours à des méthodes plus sophistiquées. Ils envoient leurs programmes malveillants vers quelques ordinateurs gérant des fonctions critiques de sécurité, généralement à des fins d’espionnage industriel. Les virus ne sont donc pas détectés tout de suite et peuvent provoquer de lourds dommages avant d’être neutralisés par les antivirus.

Les systèmes informatiques de bureau et industriels fusionnent peu à peu, de manière irréversible. Malheureusement, la conscience des menaces et la mise en œuvre de mesures appropriées pour y parer ne progressent pas au même rythme. Après l’attaque de Stuxnet, les experts Siemens ont analysé les installations infectées, dont une en Asie de l’est. « Nous y avons identifié de nombreux autres virus », indique Georg Trummer. Les mesures de sécurité implémentées étaient donc insuffisantes. Les spécialistes ont également découvert une ligne téléphonique permettant d’accéder par simple appel à une installation critique. Certaines entreprises font même le choix de ne pas utiliser de mots de passe pour contrôler l’accès informatique à leurs systèmes. « C’est une aberration ! », affirme Georg Trummer.

Etat d’alerte permanent

Siemens doit veiller à ce que tous ses collaborateurs soient en permanence conscients des aspects liés à la sécurité informatique. Le CERT a appris à des centaines de développeurs logiciels Siemens les principes de la programmation sécurisée afin de bannir les pratiques susceptibles d’ouvrir des brèches aux hackers. Les experts du CERT insistent sur une séparation catégorique du code et des données. Les hackers peuvent facilement supprimer les protections par mot de passe des logiciels dont la programmation manquerait par exemple de rigueur : tel est le type d’erreur que les formations CERT tentent d’éradiquer.

A présent, les éditeurs de logiciels fournissent régulièrement des mises à jour pour les services critiques tels que les systèmes de commande d’usine. Mais les opérateurs des sites industriels sont souvent réticents à les utiliser, craignant que les opérations ne soient perturbées. Aussi, parmi les nombreuses mises à jour Windows disponibles, seules quelques-unes sont installées sur les PC utilisés sur les sites industriels. Et bien souvent, elles ne sont téléchargées que des mois – voire des années – après leur sortie.

« Il nous faut trouver une solution garantissant l’application rapide des mises à jour de sécurité », commente Johann Fichtner. Parallèlement, les experts du CERT interviennent de plus en plus en tant que consultants au cours de la phase de développement logiciel et ne sont plus uniquement sollicités en cas de problème.

Les défis rencontrés par les spécialistes de la sécurité iront en s’amplifiant à mesure que se généraliseront les systèmes complexes en réseau tels que les « smart grids ». Et pour garantir l’efficacité des futurs réseaux électriques décentralisés, l’intelligence collective sera de mise. Mais cela suppose un certain degré de confiance de la part de toutes les personnes impliquées. De nouveaux risques pourraient également voir le jour. Un particulier disposant d’un panneau photovoltaïque sur sa toiture pourrait, par exemple, manipuler son compteur intelligent afin qu’il indique une valeur erronée de courant injecté dans le réseau. Empêcher ce type de fraude nécessiterait un système de détection intelligent. "Un réseau de distribution intelligent s’apparente à un organisme : il a besoin d’un système immunitaire. Après tout, le corps humain ne fait pas non plus aveuglément confiance à tout ce qui circule dans son sang", conclut Johann Fichtner.

___________________

Bernd Müller