9 min

La « taupe » venue du réseau électrique

Quand les institutions financières ont été abattues par des cyberattaques au début du 21ème siècle, le secteur industriel ne s’est pas trop inquiété. Il était évident que les cybercriminels recherchaient avant tout de l’argent et des cartes de crédit, et qu’ils ne s’intéressaient pas ou peu au secteur opérationnel de l’industrie lourde. Quel hacker en effet investirait du temps, de l’énergie et des moyens pour apprendre le langage PCL, MODBUS et autres protocoles propriétaires, ou encore le système SCADA, et ce dans le but de détruire des installations industrielles sans rien attendre en retour ? De plus, les installations industrielles étaient la plupart du temps conçues de façon à être déconnectées du réseau d’entreprise et d’Internet, ce qui rendait pratiquement impossible d’y trouver un point d’entrée.

Et puis en 2007 nous avons été témoins de la cyberattaque contre l’Estonie, le pays le plus informatisé du monde, une attaque organisée par un État nation, et suivie en 2008 par l’attaque contre la Géorgie. Pendant trois semaines, les Estoniens ont été brutalement déconnectés d’internet à la suite d’une série de Dénis de Service Distribué, et l’Estonie a temporairement cessé d’exister en tant que nation numérique. Cette attaque est restée dans les mémoires comme la première cyberguerre entre des États, et a amené les grandes puissances à reconsidérer l’importance de la sécurité des réseaux dans les doctrines militaires modernes. Internet, un espace encore régit par aucune loi, devenait alors un champ de bataille comparable au Far West pour les acteurs étatiques. Pendant ce temps, les entreprises industrielles continuaient à migrer vers les systèmes Ethernet et TCP/IP et la convergence entre OT et IT se développait.

En 2010, on a découvert Stuxnet, la première ‘cyberarme’, quand le virus a sévèrement affecté une centrale nucléaire iranienne. Stuxnet demeure un véritable chef d’œuvre en matière de malware, combinant cinq vulnérabilités ‘zero-day’ et un grand nombre de connaissances très pointues PLC et SCADA. Il a été créé dans des laboratoires d’État et implanté via l’utilisation d’une clé USB infectée. Le choc a été de réaliser que l’on pouvait s’introduire dans un centre de contrôle industriel en causant des dommages sévères, et que l’environnement ICS/SCADA ne pouvait plus se cacher dans l’isolement d’internet, les protocoles propriétaires et des périphériques industriels spécifiques.

Nous avons aussi réalisé que, contrairement à une arme conventionnelle, une arme cyber peut ne pas être détruite sur le champ mais peut aussi être capturée, décodée et reconfigurée, améliorée, et ré-injectée dans internet. Inutile de mentionner qu’une arme cyber peut aussi toucher ses propres alliés. On peut d’ailleurs encore aujourd’hui trouver le ver Struxnet dans des installations industrielles ayant utilisé le Step-7 de Siemens.

Les vulnérabilités ‘zero-day’ semblaient devenir des denrées de luxe qui avaient plus de valeur tenues secrètes que rendues publiques, et elles sont ainsi devenues un objet d’échange commercial entre les acteurs de la cybercriminalité et des États.

2015 a vu la réussite de la première cyberattaque contre un réseau électrique, le réseau électrique ukrainien, qui s’est partiellement effondré après avoir été déconnecté à distance depuis l’Étranger. C’est alors que nous avons pris conscience du danger qui pesait sur les sociétés humaines.

L’incident du réseau électrique ukrainien a démontré plusieurs choses. Les attaquants ont utilisé le réseau d’entreprises comme point d’entrée et ont eu recours à une méthode classique combinant une attaque type phishing par mail à une vulnérabilité non protégée bien connue de Microsoft Office Macro. C’est la convergence entre le réseau d’entreprise et le réseau de l’installation industrielle qui a permis aux agresseurs de pénétrer l’OT après avoir récupéré les autorisations nécessaires du réseau d’entreprise Active Directory et les comptes VPN pour avoir accès à distance au système ICS.

Les agresseurs ont développé un micrologiciel malveillant pour les convertisseurs Série/Ethernet qui leur a permis de bloquer toute possibilité de faire fonctionner à distance les sous-stations après l’attaque, et empêchant le personnel ukrainien d’agir à ce moment-là. Ceci combiné à une attaque par DSD sur le centre d’appel téléphonique et l’utilisation d’un KillDisk modifié pour effacer les enregistrements d’amorçage maîtres du système.

Les convertisseurs Série/Ethernet comme Moxa NPort 6110, une pièce très souvent présente dans les périphériques installés sur toutes les infrastructures critiques dans le monde entier, constituent un élément de risque majeur dont personne ne s’est méfié. Ces pièces contiennent en effet un grand nombre de vulnérabilités sérieuses qui permettent à un agresseur agissant à distance de récupérer des informations sensibles depuis le dispositif, et de faire entrer de nouveaux micrologiciels dans le convertisseur pour en prendre complètement le contrôle. Une fois que l’agresseur a ainsi déjà pratiquement gagné à partir du moment où il s’assure l’accès au réseau de distribution. Or ce type de convertisseurs Série/Ethernet est largement utilisé dans les domaines de l’électricité, du gaz, des hôpitaux et même de l’aviation, et leur appliquer un correctif ne résoudra pas le problème puisqu’ils ne sont absolument pas conçus pour être connectés à internet.

Mais les convertisseurs Série/Internet ne sont pas les seules faiblesses des systèmes industriels de contrôle. Le hardware, les machines et autres équipements présents sur les infrastructures critiques pourraient être endommagés en ligne. En 2007, une expérience du Laboratoire National d’Idaho a montré que 21 lignes de code logiciel auraient suffi pour détruire physiquement un réseau électrique s’étendant sur une grande partie du territoire des États-Unis. Les experts qui ont analysé l’incident ukrainien ont conclu que les agresseurs auraient pu causer des dommages physiques au réseau capables de rendre impossible la restauration du courant sur une très longue période. Mais le but principal de l’attaquant dans ce cas était de faire passer un message géopolitique.

Malheureusement, les systèmes SCADA et les autres dispositifs de circuits intégrés qui contrôlent l’environnement des infrastructures critiques comportent des vulnérabilités d’origine puisqu’ils n’ont pas été conçus pour fonctionner connectés à internet par l’intermédiaire du réseau de l’entreprise. Les systèmes SCADA sont devenus la définition même du « un-secure by design ».

Personne n’a été surpris quand le Department of Homeland Security des États-Unis a indiqué à plusieurs reprises que « des agences de renseignements militaires étrangères avaient infiltré les postes de contrôle de centrales électriques aux États-Unis, ce qui pourrait, en théorie, leur permettre de prendre contrôle à distance d’une partie du réseau électrique ». Le chef de la NSA a aussi soulevé la crainte de l’implantation d’un malware dans plusieurs réseaux de distribution d’électricité, eau et gaz en 2016, en déclarant que « la question n’est pas de savoir SI mais QUAND ils attaqueront ». Les craintes d’une escalade vers une cyber Guerre Froide ont d’ailleurs resurgit quand, en 2019, les États-Unis ont annoncé s’être infiltrés dans le réseau de distribution d’électricité de la Russie et avoir déployé des outils permettant de répondre aux cyberattaques russes.

Bien qu’il soit clair que nous vivons dans un état de cyberguerre, la société avance rapidement vers ce que l’on appelle l’Industrie 4.0. Des milliards de dispositifs sont connectés à Internet, numérisant tous les aspects de notre vie. L‘intelligence artificielle, la blockchain, la réalité virtuelle et toutes les autres tendances de l’IT s’accompagnent d’énormes progrès pour l’humanité en matière de santé, de circulation automobile, et autres industries. Le futuriste Gerd Leonhard prétend que l’humanité changera plus dans les 20 prochaines années que dans les 300 précédentes.  Parallèlement, les réseaux de distribution d’électricité, ces monstres immobiles créés au siècle dernier comme des systèmes purement analogiques, sont entraînés dans le nouveau monde numérique peuplé de taupes, malwares, et outils électroniques installés de manière à exploser le jour où les acteurs étatiques le décideront.

Mark Elsberg décrit dans son livre ‘Blackout’ les conséquences d’un effondrement total du réseau électrique à grande échelle suite à une cyberattaque massive en Europe. En moins de deux semaines, les sociétés démocratiques libérales redeviendraient des sociétés médiévales anarchiques. Bien qu’il s’agisse d’un ouvrage de science-fiction, Elsberg a mis au point un scénario à la fois inquiétant et réaliste touchant le secteur de l’énergie.

Il y a quelques jours, le gouvernement américain a annoncé une mesure qui a surpris pour sécuriser les réseaux électriques en utilisant des technologies « rétro » : il s’agit simplement de les déconnecter d’internet et d’utiliser des « moyens analogiques » pour contrôler les réseaux. Il faut sans doute savoir reconnaître que nous n’avons pas été capable de protéger nos infrastructures essentielles face au cyber terrorisme, ou que la numérisation avance trop vite.

La cybersécurité repose sur les individus, les process et les technologies. Si l’on considère que plus de 90 % des failles de sécurité sont la conséquence de systèmes IT non protégés et de mots de passe trop faibles ou trop rarement changés, l’humain demeure le chaînon le plus faible de la chaîne de la cybersécurité. Les ukrainiens de Kyivoblenergo auraient pu éviter le désastre si leurs employés n’avaient pas été aussi socialement formatés et s’ils avaient eu un système de détection des intrusions et des outils de prévention suffisants, et nous n’aurions probablement jamais entendu parler des iraniens de Natanz s’ils n’avaient pas négligemment branché une clé USB sur le système.

C’est notre rôle à nous, professionnels des TIC, d’éduquer la société à une véritable hygiène cyber et de sensibiliser à la sécurité numérique, et il est aussi de notre devoir de nettoyer toutes les taupes des infrastructures critiques avant qu’elles n’explosent.

Le Forum International de la Cybersécurité de Lille (FIC) est sans doute le plus important événement cyber d’Europe. C’est l’endroit idéal pour élargir votre expérience de la cybersécurité, pour découvrir les dernières technologies, et pour rencontrer les bonnes personnes pour échanger, et partager des témoignages et des études de cas.

 

Yugo Neumorni est membre du conseil d’administration et président du conseil de la cybersécurité d’EuroCIO, président et membre  fondateur du CIO Council Romania, de l’association des responsables informatiques en Roumanie, ancien président d’ISACA Romania et membre de d’advisory board du FIC.

Partager cet article avec un ami