La sécurité du système de contrôle industriel (ICS) est au cœur des préoccupations au Black Hat USA - avec des sessions chargées allant des attaques spécifiques au matériel vulnérable - le tout dans le but de protéger les infrastructures critiques, dont les failles de sécurité font si souvent la une des journaux ces derniers temps.
Alors que les protocoles de contrôle industriels ne sont pas sécuritaires, on remarque une volonté de boulonner le matériel et les logiciels de sécurité pour vérifier les patterns de communication anormaux. Mais bien qu'il s'agisse certainement d'un progrès, ces mesures ne visent qu’un aspect des cyberrisques qui pèsent sur les ICS.
Dans mon expérience, la communication avec l'équipement industriel n'était pas malveillante au niveau des paquets. L'équipement suivait des ordres légitimes, mais dans un but malveillant. Voilà pourquoi la question de la sécurité est si complexe.
Vous pouvez voir ce risque comme s’il s’agissait d’un initié malveillant, mais numérique. Une fois que les attaquants ont obtenu accès au réseau, les défenses limitées ICS/SCADA (contrôle de supervision et acquisition de données) n’ont pas empêché les commandes émanant de postes de travail légitimes, mais compromis.
Nous avons également pu voir à Black Hat des réseaux critiques s'attacher sur des dispositifs de communication à distance via des réseaux cellulaires pour surveiller les systèmes. Ces dispositifs comportaient souvent des erreurs critiques de mauvaise configuration permettant aux attaquants d'avoir accès et d'extraire des données qui éclaireraient les attaques futures. Encore une fois, ces points d'entrée pouvaient être protégés, mais ne l’étaient pas.
Les industries contrôlées par ICS, se trouvent à une jonction intéressante où les praticiens qui sont les mieux à même de faire fonctionner ces équipements sont en poste depuis assez longtemps pour ne pas avoir grandi à l’ère du numérique, et il semble que cela entraine une certaine résistance.
J'ai récemment interviewé un ingénieur senior œuvrant dans entreprise d'infrastructures essentielles. Il a expliqué qu'il voyait peu d’incitatifs à s'éloigner de ses domaines d'expertise et à s'intéresser à la sécurité des réseaux ou à d'autres questions liées au domaine numérique. Il ne recevrait pas d'augmentation de salaire, car il était déjà au sommet ou près du sommet de son échelle salariale, et il se sentait nerveux à l'idée de faire des erreurs qui pourraient lui causer des ennuis. Bref, il voyait beaucoup de risques et peu d’avantages personnels à se lancer dans une telle aventure.
Ce constat semble s’appliquer à l’ensemble du monde de l’ICS. Dans certains cas, il faudra attendre l’arrivée en place de la prochaine génération d'ingénieurs et d'opérateurs, qui ont grandi avec la sécurité numérique et qui comprennent son importance en matière d’infrastructures critiques, pour qu’un réel changement ne s’amorce.
Entre temps, je trouve encourageant de voir les praticiens de la sécurité de Black Hat déployer autant d’efforts sur la protection des infrastructures critiques. Après tout, cette même infrastructure contrôle directement la capacité de faire ce que nous faisons dans le monde de la sécurité. Si les lumières s'éteignent, l'eau cesse de couler bientôt et les choses se transforment en boule de neige dans une situation dont personne ne veut. Étant donné qu'une grande partie de l'infrastructure que nos sociétés modernes tiennent pour acquise dépend des systèmes gérés par le SCI, ils méritent d'être protégés.