Depuis Stuxnet (et Duqu), les SCADA sont à la mode. Malheureusement, car si on en parle de plus en plus, c’est généralement pour dénoncer leurs problèmes de sécurité.
Ces systèmes, utilisés par les infrastructures critiques (transport, nucléaire, électricité, gaz, eau, etc.), sont essentiels à leur fonctionnement. Sauf qu’ils sont de plus en plus souvent connectés à Internet. Et ils ne sont pas toujours très bien sécurisés… Pourquoi ? Bonne question. Certains de ses systèmes sont assez anciens mais cela n’explique pas tout. Je pense surtout que, comme pour beaucoup de systèmes « informatiques » (au sens large) la sécurité n’a jamais été une préoccupation majeure de leurs concepteurs et ensuite de leurs exploitants. Par exemple, dans l’affaire Stuxnet, on retrouve notamment des mots de passe codés en dur (#FAILED) dans leurs programmes. On ne peut donc pas les changer facilement et bien sûr tout le monde les connaît. On peut aussi tomber sur des systèmes protégés le login / mot de passe par défaut du constructeur…
#SCADA #FRANCE #FULLDISCLOSURE #FEAR
Avant hier soir, j’ai vu passer sur Twitter de nombreux liens accompagnés des hashtags #SCADA #FULLDISCLOSURE. Un peu inquiétant mais on commence à s’habituer. Un compte Twitter (@ntisec pour pas le citer mais il y en a sûrement d’autres) publie en effet depuis quelques jours sur pastebin.com des IP qui mènent à des interfaces d’administration de (potentiels) SCADA. Ce qui m’a interpellé c’est plutôt le hashtag #FRANCE accompagnant deux des tweets… @LoicBreat, qui a réagi à ces mêmes tweets, fait un petit WHOIS sur une des URLs et bingo. Je vous laisse jeter un oeil au screenshot.
Ce parc éolien français, géré par notre fournisseur d’électricité national, possède au moins un système équipé par un logiciel de type SCADA, dont l’interface est accessible facilement depuis Internet. Peut-être que le risque associé est faible, je ne sais pas, je ne suis pas un expert des systèmes SCADA (mais c’est un métier d’avenir !). Mais est-il normal de laisser accessible à tous ce genre d’informations sur Internet ?
Après quelques recherches sur Internet, on sait même à quoi ressemble le terminal (sur l’URL d’administration, on a les numéros de version qui vont bien et bien sûr le modèle du terminal).
Encore un produit Siemens…
Que dire de plus ? Je parlais dans mon dernier billet de fondamentaux de la sécurité. Mais ici on parle (en plus) de systèmes critiques qu’on imaginait un peu plus protégé. Alors oui, il n’y a pas eu encore de conséquences sur des vies humaines ni de dégâts matériels (à notre connaissance). Peut-être également qu’accéder à ce terminal ne mène à rien. Mon but n’est pas de dramatiser à outrance ces cyber menaces. Mais pourquoi se compliquer la vie en laissant des « portes ouvertes » de façon si ostentatoire… Car ces données, une simple recherche sur Google ou Shodan permet de les (re)trouver. Pour les plus feignants, le moteur de recherche de pastebin.com fonctionne très bien.
Malheureusement on n’a pas fini d’entendre parler ni de sécurité ni de SCADA… Pour ne pas rester sur une note négative et être un peu optimiste, pas mal d’initiatives (américaines notamment) ont commencé à émerger depuis quelques années sur la cyber sécurité des SCADA. Le problème est connu, les solutions existent (la documentation sur le sujet existe en quantité) mais elles coûtent chères. A suivre…
LE CERT ICS américain a publié dans sa dernière newsletter un exemple de pénétration réussi (simple attaque brute-force sur une interface SCADA sur le web), sans grande conséquence. Mais il est évident que cela va se répéter.
http://www.us-cert.gov/control_systems/pdf/ICS-CERT_Monthly_Monitor_Feb2012.pdf
Que faire ? Diffuser autant que possible ces infos (comme cet article) : puisque tous les hackers amateurs sont au courant et peuvent jouer, autant s’assurer que tous les responsables d’exploitations le soient aussi, c’est le moins qu’on puisse faire !