Julien Raigneau

Les SCADA : Une cible de choix pour les cyberattaques

Les systèmes ICS (Industrial Control Systems), parfois appelés SCADA (pour Supervisory Control And Data Acquisition) qui contrôlent les automates du monde industriel, par exemple pour automatiser les processus industriels complexes, gérer les réseaux d’approvisionnement en eau ou encore piloter la production et la distribution d’énergie, sont devenus des cibles de choix pour les cyberattaques.

Des systèmes particulièrement vulnérables

L’âge est le premier facteur rendant les systèmes SCADA vulnérables : le cycle de vie en industrie se compte en décennies, à l’opposé de l’informatique où les technologies évoluent très vite. Aussi, il n’est pas rare de trouver des SCADA utilisant des systèmes d’exploitation plus maintenus et donc plus patchés (Windows NT4 / 98 / XP par exemple).

Cela signifie que des vulnérabilités connues depuis longtemps peuvent être utilisées des hackers[1], c’est pourquoi le nombre « d’exploits » disponibles dans Metasploit pour attaquer les systèmes type SCADA est assez significatif sur cet aspect.

L’architecture et la conception de ces systèmes sont par ailleurs historiquement tournées vers la recherche de la stabilité avant tout, avec une approche orientée sécurité presque inexistante. Ainsi, les protocoles d’échange entre systèmes (comme Modbus) n’intégraient pas jusqu’à présent de cryptage[2].

De même,la politique de gestion des mots de passe et des droits d’accès est généralement absente, que cela soit au niveau des automates avec des mots de passe trop souvent par défaut, ou sur les systèmes de contrôle d’acquistion avec l’utilisation fréquente de comptes à privilèges pour de la simple consultation.

Plus globalement, La culture de la sécurité informatique est peu développée chez les intégrateurs/constructeurs et exploitants des systèmes SCADA qui ne mesurent pas toujours les risques induits, soit par une connaissance limitée du monde de l’IT ou par des choix basés sur des idées fausses (ex: « les protocoles propriétaires utilisés protègent les systèmes SCADA »).

Par ailleurs, les systèmes SCADA sont de plus en plus souvent connectés, soit aux réseaux de l’entreprise, soit même à Internet directement. Cette connectivité n’était pas prévue initialement dans les architectures SCADA, réputées protégées car isolées du monde extérieur « par les murs en brique des usines ».

Pour finir, les outils de scan et d’attaque se « démocratisent » et deviennent de plus en plus accessibles. Ainsi des moteurs de recherche spécialisés[3] existent, permettant de trouver les équipements, que cela soit des caméras IP ou des systèmes plus critiques : un attaquant pourra donc trouver relativement simplement les systèmes connectés puis utiliser des vulnérabilités pour les compromettre.

Un risque majeur pour les entreprises, les gouvernements et les populations

Les vulnérabilités des SCADA représentent un risque majeur pour les entreprises de tous secteurs (Energie, Pétrole, Eau, Transports, Industrie, …) avec des systèmes qui peuvent être piratés pour voler des informations ou ralentir voire détruire la production d’usines[4], mais aussi pour les gouvernements et les Etats.

Ainsi des exemples récents comme le virus Stuxnet[5] ou les coupures d’énergie en Ukraine ont démontré que des guerres pouvaient aussi se livrer via l’attaque des systèmes SCADA de l’adversaire : pourquoi envoyer des bombardiers sur une usine quand un piratage permettra aussi de détruire les machines ou la production de son adversaire – déclaré ou non?

Pour finir, ces risques doivent être d’autant mieux pris en compte que les conséquences peuvent être beaucoup plus graves que des problèmes d’image ou des pertes de production. Comme le montre le groupe de travail du CLUSIF d’avril 2017, il existe des exemples édifiants d’attaques qui auraient pu avoir de graves impacts sur les populations (modification d’un système d’épuration d’eau aux USA et déraillement de tramway en Pologne par exemple)

Stratégies de remédiation

Pour protéger les systèmes du type SCADA, il est important de prendre conscience que, comme tout autre système IT, ces systèmes sont certes vulnérables, mais qu’ils peuvent aussi être sécurisés, à travers des approches classiques:

  • Des audits et des tests de sécurité (pentests) pour connaitre les vulnérabiltiés existantes.
  • Des revues de procédures et une sensibilisation à la culture de la sécurité chez les constructeurs et les exploitants.
  • Du durcissement au sens informatique des systèmes et de leurs environnements (Gestion des identités et des accès, Cryptage des échanges, Filtrage, Cloisonnement…)
  • Une intégration du suivi de ces systèmes dans des SOC (Security Operations Center) pour la gestion des alertes de vulnérabilités et des incidents de sécurité

iDNA de par son expérience en cybersécurité et sa connaissances des infrastructures peut aider les entreprises sur ces différentes phases afin de sécuriser les systèmes SCADA.

  1. D’après Fortinet dans son rapport « Global Threat Landscape » de 2017, 60% des entreprises sont attaquées avec des exploits vieux de dix ans, tout type de systèmes confondus. ↩︎
  2. Différentes initiatives et réflexions sont toutefois en cours depuis quelques années pour améliorer la sécurité de Modbus. ↩︎
  3. Le site Hackers Arise! donne de bons exemples d’utilisation du moteur Shodan pour en savoir plus. ↩︎
  4. L’expérience Aurora, bien que parfois critiquée sur sa réalisation, a permis de montrer que le contrôle des systèmes SCADA pouvait même mener à la destruction d’équipements. ↩︎
  5. Stuxnet est un vers informatique créé probablement par les services de renseignements américains et/ou israëliens afin de ralentir la production d’uranium enrichi par les Iraniens dans les années 2010. (source: Wikipedia) – voir aussi l’excellent postmortem de Symantec
Articles associés

Les IA font évoluer les attaques

7 février 2024
  Jusqu’à présent, les attaques liées à l’ingénierie sociale (Social Engineering) étaient en tête sur la liste des vecteurs de compromission initiale. C’était sans compter sur l’IA (Intelligence Artificielle) qui est en passe de faire exploser les records !   Une accélération des attaques Depuis fin 2022, le nombre de phishing a été multiplié par […]

La méthode FAIR : un guide vers une gestion efficace des risques pour votre entreprise.

13 décembre 2023
  Cette méthode, qui gagne en popularité, offre une perspective unique et pragmatique pour évaluer et gérer les risques de manière plus efficace et précise. Cet article revient sur les principes fondamentaux de la méthode FAIR et son application concrète.     FAIR: Factor Analysis of Information Risk Le standard FAIR est un modèle analytique […]
Partager cet article
Derniers articles

Les IA font évoluer les attaques

  Jusqu’à présent, les attaques liées à l’ingénierie sociale (Social Engineering) étaient en tête sur la liste des vecteurs de compromission initiale. C’était sans compter sur l’IA (Intelligence Artificielle) qui est en passe de faire exploser les records !   Une accélération des attaques Depuis fin 2022, le nombre de phishing a été multiplié par […]

La méthode FAIR : un guide vers une gestion efficace des risques pour votre entreprise.

  Cette méthode, qui gagne en popularité, offre une perspective unique et pragmatique pour évaluer et gérer les risques de manière plus efficace et précise. Cet article revient sur les principes fondamentaux de la méthode FAIR et son application concrète.     FAIR: Factor Analysis of Information Risk Le standard FAIR est un modèle analytique […]

La nouvelle réglementation DORA : qu’implique-t-elle ?

DORA : Digital Operational Resilience Act Dans un contexte de plus en plus marqué par la transformation numérique, l’interconnexion grandissante des réseaux et la multiplication des cyberattaques, les services financiers doivent redoubler de vigilance. La nouvelle réglementation DORA s’inscrit dans ce constat et a pour finalité de garantir la stabilité financière et la protection des consommateurs […]

Wissam : être une femme dans l’IT

Wissam est consultante Gouvernance Risque et Conformité (GRC) chez iDNA et évolue dans un univers principalement masculin. Nous avons souhaité en savoir plus sur son parcours et sa place en tant que femme dans l’IT. Elle a accepté volontiers de répondre à nos questions :   Bonjour Wissam, tout d’abord quel est ton parcours de formation ? Initialement, […]