Depuis Stuxnet (et Duqu), les SCADA sont à la mode. Malheureusement, car si on en parle de plus en plus, c’est généralement pour dénoncer leurs problèmes de sécurité.
Ces systèmes, utilisés par les infrastructures critiques (transport, nucléaire, électricité, gaz, eau, etc.), sont essentiels à leur fonctionnement. Sauf qu’ils sont de plus en plus souvent connectés à Internet. Et ils ne sont pas toujours très bien sécurisés… Pourquoi ? Bonne question. Certains de ses systèmes sont assez anciens mais cela n’explique pas tout. Je pense surtout que, comme pour beaucoup de systèmes « informatiques » (au sens large) la sécurité n’a jamais été une préoccupation majeure de leurs concepteurs et ensuite de leurs exploitants. Par exemple, dans l’affaire Stuxnet, on retrouve notamment des mots de passe codés en dur (#FAILED) dans leurs programmes. On ne peut donc pas les changer facilement et bien sûr tout le monde les connaît. On peut aussi tomber sur des systèmes protégés le login / mot de passe par défaut du constructeur…
#SCADA #FRANCE #FULLDISCLOSURE #FEAR
Avant hier soir, j’ai vu passer sur Twitter de nombreux liens accompagnés des hashtags #SCADA #FULLDISCLOSURE. Un peu inquiétant mais on commence à s’habituer. Un compte Twitter (@ntisec pour pas le citer mais il y en a sûrement d’autres) publie en effet depuis quelques jours sur pastebin.com des IP qui mènent à des interfaces d’administration de (potentiels) SCADA. Ce qui m’a interpellé c’est plutôt le hashtag #FRANCE accompagnant deux des tweets… @LoicBreat, qui a réagi à ces mêmes tweets, fait un petit WHOIS sur une des URLs et bingo. Je vous laisse jeter un oeil au screenshot.
Ce parc éolien français, géré par notre fournisseur d’électricité national, possède au moins un système équipé par un logiciel de type SCADA, dont l’interface est accessible facilement depuis Internet. Peut-être que le risque associé est faible, je ne sais pas, je ne suis pas un expert des systèmes SCADA (mais c’est un métier d’avenir !). Mais est-il normal de laisser accessible à tous ce genre d’informations sur Internet ?
Après quelques recherches sur Internet, on sait même à quoi ressemble le terminal (sur l’URL d’administration, on a les numéros de version qui vont bien et bien sûr le modèle du terminal).
Encore un produit Siemens…
Que dire de plus ? Je parlais dans mon dernier billet de fondamentaux de la sécurité. Mais ici on parle (en plus) de systèmes critiques qu’on imaginait un peu plus protégé. Alors oui, il n’y a pas eu encore de conséquences sur des vies humaines ni de dégâts matériels (à notre connaissance). Peut-être également qu’accéder à ce terminal ne mène à rien. Mon but n’est pas de dramatiser à outrance ces cyber menaces. Mais pourquoi se compliquer la vie en laissant des « portes ouvertes » de façon si ostentatoire… Car ces données, une simple recherche sur Google ou Shodan permet de les (re)trouver. Pour les plus feignants, le moteur de recherche de pastebin.com fonctionne très bien.
Malheureusement on n’a pas fini d’entendre parler ni de sécurité ni de SCADA… Pour ne pas rester sur une note négative et être un peu optimiste, pas mal d’initiatives (américaines notamment) ont commencé à émerger depuis quelques années sur la cyber sécurité des SCADA. Le problème est connu, les solutions existent (la documentation sur le sujet existe en quantité) mais elles coûtent chères. A suivre…
Comment résumer l’année 2011 de la cyber-sécurité en 12 lettres ? Facile.
En 3 lettres : APT pour nos fameuses Advanced Persistent Threat (ou Adobe Persistent Threat pour les mauvaises langues sur Twitter… elle n’est pas de moi). Les stars de l’année 2011, mention spéciale à RSA (prix d’interprétation 2011).
En 5 lettres : SCADA pour Supervisory Control And Data Acquisition. Les rumeurs d’attaques contre les infrastructures de type SCADA ont animé cette année 2011. Les termes Hack et SCADA renvoient sur Google près de 1 250 000 résultats aujourd’hui. A côté de cela, les rapports se multiplient pour alerter contre les risques de cyber-attaques ou de cyber-sabotages contre ces infrastructures critiques. Les derniers en date ? Les inquiétudes du FBI (pour justifier une augmentation de budget ?) Et celles du DHS.
Et enfin en 4 lettres : BYOD pour Bring Your Own Device. Et oui c’est une réalité, aujourd’hui qui n’apporte pas son smartphone personnel au boulot et n’en a pas un usage professionnel ? Selon une récente étude menée par IDC et IBM, 67% des salariés français auraient déjà succombé à ce phénomène. Et le BYOD, en plus d’être encore peu intégré par les DSI (selon la même étude, 76% des DSI n’en mesurent pas encore l’impact dans leur organisation…) est devenu le cauchemar des RSSI. En effet, comment contrôler ces terminaux mobiles personnels ? Comment les intégrer à la politique sécurité de l’entreprise ? Faut-il les bannir ? Comment les accueillir ? Ce qui est certain ce sont les risques liés à cette pratique : perte ou vol des smartphones, fuite de données, porte d’entrée (qui a dit dérobée ?) au système d’information de l’entreprise…
Pour en savoir plus :
