SCADA/ICS : Quels risques ?

A l’occasion de la conférence Black Hat Europe semaine dernière, Kyle Wilhoit (Trend Micro) est intervenu sur le sujet de la sécurité des systèmes SCADA/ICS. Depuis plusieurs années, les infrastructures industrielles sont cibles de cyber-attaques. Rien que pour l’année 2012, la cellule ICS-CERT a relevé 198 “incidents” de sécurité sur le territoire américain.

Kyle s’est donc penché sur le sujet pour répondre à 2 questions majeures, à savoir d’où proviennent les attaques et quels types d’attaques sont réalisées. Il convient d’introduire le contexte… SCADA est un concept de système de contrôle industriel (ICS), utilisé dans différents secteurs comme l’énergie, la distribution d’eau, chaîne de fabrication, raffinerie… SCADA n’est donc pas une norme, et chaque constructeur (Siemens, Schneider, Honeywell…), utilise des technologies et des protocoles différents tels que Modbus ou Profibus. Certaines normes ont tout de même émergé comme Profinet ou IEC 60870-5 et remplacent petit à petit les anciennes infrastructures SCADA.

A retenir, un système ICS/SCADA est conçu pour fonctionner sur des dizaines d’années; on imagine facilement la difficulté de suivi technologique du système, notamment dans la veille en vulnérabilité. Il existe 3 composants majeurs dans un système ICS :
– l’interface homme-machine (IHM)
– le contrôleur programmable (PLC)
– la sonde de transmission (RTU)

Par rapport à une infrastructure IT classique, l’environnement ICS est construit pour être 100 % disponible avec des mécanismes de redondance des systèmes de contrôle et de mesure. La “sécurité” du système est secondaire face à la disponibilité. Pour faire simple, pas d’antivirus, pas de firewall, pas d’IPS… Et c’est pas fini : Pas/peu de mise à jour des composants matériels, utilisation d’OS antédiluvien, pas/peu de mise à jour des OS en question. A savoir que la majorité des systèmes de supervision ICS (IHM) fonctionnent sous OS Windows…Et pire.. De nombreux systèmes ICS s’administrent à travers Internet car les liaisons ADSL coûtent moins cher qu’une liaison dédiée !

ics_1

Le filtrage entre l’infrastructure ICS et IT est quasi-inexistant, au mieux un firewall. Il est donc possible de rebondir d’un poste classique vers un système ICS pour propager son attaque. ça ne vous rappelle rien ? Peut-être Stuxnet 😉

Grâce à Google, Kyle a répertorié de nombreux systèmes ICS accessible depuis le net (bourré de vulnérabilités en plus). Et sur Paste-bin, idem. Et mieux, Shodan project qui indexe automatiquement les machines disposant de remote-access (web, telnet, ssh…) et permet des recherches très efficace. Exemple de résultat avec le mot-clé “Siemens” :
ics_2

Kyle a donc créé 3 honeypots ICS pour “capturer” les tentatives de cyber-attaques. Le piège a reposé sur une infrastructure Cloud Amazon EC2 avec des technologies SNORT/HONEYD et des serveurs web imitant l’affichage et le comportement de contrôleur (PLC). Sur 28 jours de capture, 39 attaques du système ont été identifiées. Les sources principales des attaques étaient issues du territoire américain, chinois (alimente le buzz) et laotien (?).

ics_3

Parmi les différentes intrusions, deux souches de malware inconnu et non-détecté ont été relevés et sont en cours d’analyse par nos experts du TrendLabs. En parallèle, de nombreuses tentative de “Modbus spoofing” (usurpations d’identité de machine IHM) ont été détecté.

Malgré ce constat alarmant, Kyle émet quelques recommandations :
Désactiver les accès Internet pour les composants ICS
– Mettre à jour les OS et framework ICS
 Difficile à réaliser à cause des compatibilités de surcouche et le support du  constructeur
  Le Virtual Patching est une solution pertinente pour ces infrastructures statiques.
– Changer les accès administrateur par défaut (un classique)
– Installer un antimalware si le système le permet.
  Je conseillerais de privilégier une solution légère et peu intrusive.
– Forcer les protocoles sécurisés SSL/TLS si disponible
Segmenter l’infrastructure ICS/SCADA.
   Pourquoi un seul réseau sans zone alors qu’il n’y a pas de communication any-to-any ?
– Améliorer la surveillance du système à travers du SIEM et de l’analyse du trafic réseau comme Deep Discovery.

Pour plus de détails, je vous invite à lire l’étude “Who’s Really Attacking Your ICS Equipment? By Trend Micro”.

Quelques liens pour mieux comprendre les systèmes de contrôle industriel :
Back to Basics: SCADA
Scada vs ICS
Sécurité des réseaux industriels (Stephane Milani/HSC)

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.