Julien Raigneau

Les SCADA : Une cible de choix pour les cyberattaques

Les systèmes ICS (Industrial Control Systems), parfois appelés SCADA (pour Supervisory Control And Data Acquisition) qui contrôlent les automates du monde industriel, par exemple pour automatiser les processus industriels complexes, gérer les réseaux d’approvisionnement en eau ou encore piloter la production et la distribution d’énergie, sont devenus des cibles de choix pour les cyberattaques.

Des systèmes particulièrement vulnérables

L’âge est le premier facteur rendant les systèmes SCADA vulnérables : le cycle de vie en industrie se compte en décennies, à l’opposé de l’informatique où les technologies évoluent très vite. Aussi, il n’est pas rare de trouver des SCADA utilisant des systèmes d’exploitation plus maintenus et donc plus patchés (Windows NT4 / 98 / XP par exemple).

Cela signifie que des vulnérabilités connues depuis longtemps peuvent être utilisées des hackers[1], c’est pourquoi le nombre « d’exploits » disponibles dans Metasploit pour attaquer les systèmes type SCADA est assez significatif sur cet aspect.

L’architecture et la conception de ces systèmes sont par ailleurs historiquement tournées vers la recherche de la stabilité avant tout, avec une approche orientée sécurité presque inexistante. Ainsi, les protocoles d’échange entre systèmes (comme Modbus) n’intégraient pas jusqu’à présent de cryptage[2].

De même,la politique de gestion des mots de passe et des droits d’accès est généralement absente, que cela soit au niveau des automates avec des mots de passe trop souvent par défaut, ou sur les systèmes de contrôle d’acquistion avec l’utilisation fréquente de comptes à privilèges pour de la simple consultation.

Plus globalement, La culture de la sécurité informatique est peu développée chez les intégrateurs/constructeurs et exploitants des systèmes SCADA qui ne mesurent pas toujours les risques induits, soit par une connaissance limitée du monde de l’IT ou par des choix basés sur des idées fausses (ex: « les protocoles propriétaires utilisés protègent les systèmes SCADA »).

Par ailleurs, les systèmes SCADA sont de plus en plus souvent connectés, soit aux réseaux de l’entreprise, soit même à Internet directement. Cette connectivité n’était pas prévue initialement dans les architectures SCADA, réputées protégées car isolées du monde extérieur « par les murs en brique des usines ».

Pour finir, les outils de scan et d’attaque se « démocratisent » et deviennent de plus en plus accessibles. Ainsi des moteurs de recherche spécialisés[3] existent, permettant de trouver les équipements, que cela soit des caméras IP ou des systèmes plus critiques : un attaquant pourra donc trouver relativement simplement les systèmes connectés puis utiliser des vulnérabilités pour les compromettre.

Un risque majeur pour les entreprises, les gouvernements et les populations

Les vulnérabilités des SCADA représentent un risque majeur pour les entreprises de tous secteurs (Energie, Pétrole, Eau, Transports, Industrie, …) avec des systèmes qui peuvent être piratés pour voler des informations ou ralentir voire détruire la production d’usines[4], mais aussi pour les gouvernements et les Etats.

Ainsi des exemples récents comme le virus Stuxnet[5] ou les coupures d’énergie en Ukraine ont démontré que des guerres pouvaient aussi se livrer via l’attaque des systèmes SCADA de l’adversaire : pourquoi envoyer des bombardiers sur une usine quand un piratage permettra aussi de détruire les machines ou la production de son adversaire – déclaré ou non?

Pour finir, ces risques doivent être d’autant mieux pris en compte que les conséquences peuvent être beaucoup plus graves que des problèmes d’image ou des pertes de production. Comme le montre le groupe de travail du CLUSIF d’avril 2017, il existe des exemples édifiants d’attaques qui auraient pu avoir de graves impacts sur les populations (modification d’un système d’épuration d’eau aux USA et déraillement de tramway en Pologne par exemple)

Stratégies de remédiation

Pour protéger les systèmes du type SCADA, il est important de prendre conscience que, comme tout autre système IT, ces systèmes sont certes vulnérables, mais qu’ils peuvent aussi être sécurisés, à travers des approches classiques:

  • Des audits et des tests de sécurité (pentests) pour connaitre les vulnérabiltiés existantes.
  • Des revues de procédures et une sensibilisation à la culture de la sécurité chez les constructeurs et les exploitants.
  • Du durcissement au sens informatique des systèmes et de leurs environnements (Gestion des identités et des accès, Cryptage des échanges, Filtrage, Cloisonnement…)
  • Une intégration du suivi de ces systèmes dans des SOC (Security Operations Center) pour la gestion des alertes de vulnérabilités et des incidents de sécurité

iDNA de par son expérience en cybersécurité et sa connaissances des infrastructures peut aider les entreprises sur ces différentes phases afin de sécuriser les systèmes SCADA.

  1. D’après Fortinet dans son rapport « Global Threat Landscape » de 2017, 60% des entreprises sont attaquées avec des exploits vieux de dix ans, tout type de systèmes confondus. ↩︎
  2. Différentes initiatives et réflexions sont toutefois en cours depuis quelques années pour améliorer la sécurité de Modbus. ↩︎
  3. Le site Hackers Arise! donne de bons exemples d’utilisation du moteur Shodan pour en savoir plus. ↩︎
  4. L’expérience Aurora, bien que parfois critiquée sur sa réalisation, a permis de montrer que le contrôle des systèmes SCADA pouvait même mener à la destruction d’équipements. ↩︎
  5. Stuxnet est un vers informatique créé probablement par les services de renseignements américains et/ou israëliens afin de ralentir la production d’uranium enrichi par les Iraniens dans les années 2010. (source: Wikipedia) – voir aussi l’excellent postmortem de Symantec
Articles associés

PCA, PRA, PCI, PRI, PCC : Stop à la confusion

28 octobre 2022
En 2020, la crise sanitaire du COVID a mis toutes les sociétés à rude épreuve. Les moins structurées ont eu du mal à gérer leurs processus les plus essentiels et à s’organiser afin d’éviter des pertes financières considérables. Travaillant alors au sein d’un organisme certifié ISO 27001 dont l’une des exigences était notamment la mise […]

Votre clé USB peut-elle donner l’accès à votre système d’information ?

31 mai 2022
D’aucuns diront qu’elle est « le Cloud à portée de main » (jusqu’à plusieurs téraoctets de données disponibles à volonté), la clé USB est aujourd’hui la solution phare de stockage de masse au format poche. À l’origine de ce succès, l’effet combiné de la formidable expansion des capacités disponibles sur mémoire flash (multiplié par 2000 en moins […]
Partager cet article
Derniers articles

PCA, PRA, PCI, PRI, PCC : Stop à la confusion

En 2020, la crise sanitaire du COVID a mis toutes les sociétés à rude épreuve. Les moins structurées ont eu du mal à gérer leurs processus les plus essentiels et à s’organiser afin d’éviter des pertes financières considérables. Travaillant alors au sein d’un organisme certifié ISO 27001 dont l’une des exigences était notamment la mise […]

La nouvelle gestion des ressources humaines

Tout le monde en parle : depuis la crise covid, plus rien n’est comme avant – mais concrètement, qu’est-ce qui a changé ?   Tout d’abord, le recrutement. Dans le secteur de l’IT, il est considéré comme difficile depuis toujours, mais depuis un an ou deux, tous les secteurs sans exception semblent rencontrer des difficultés à embaucher […]

Votre clé USB peut-elle donner l’accès à votre système d’information ?

D’aucuns diront qu’elle est « le Cloud à portée de main » (jusqu’à plusieurs téraoctets de données disponibles à volonté), la clé USB est aujourd’hui la solution phare de stockage de masse au format poche. À l’origine de ce succès, l’effet combiné de la formidable expansion des capacités disponibles sur mémoire flash (multiplié par 2000 en moins […]

Tout savoir sur le SDN : « Software Defined Networking »

Les nouvelles techniques d’automatisation du réseau se multiplient. Aujourd’hui le traitement de données et l’acheminement des paquets, au sein d’un réseau automatisé ou programmable, sont gérés par le biais d’un contrôleur centralisé. Ces technologies ont participé à l’expansion rapide de l’infrastructure réseau, nécessaire pour prendre en charge la croissance exponentielle du trafic généré, et l’ont […]