SCADA et milieu maritime: une cybersécurité stratégique

 

Environnement et contraintes en milieu maritime : des systèmes embarqués encore trop vulnérables et des zones portuaires a « cybersécuriser » davantage

 

 

Février 2010  : le monde apprend avec stupeur les conséquences d'une cyber-attaque sur un ensemble de centrifugeuses d'une unité de production d'enrichissement d'uranium en Iran. La plupart d'entre elles sont détruites, hors d'usage suite à la «  visite  » d'un «  cyber-missile  » sophistiqué  : Stuxnet.

Stuxnet, code malveillant particulièrement sophistiqué a déclenché une suite d'instructions «  pirates  » mais parfaitement comprises des automates qui pilotaient des centrifugeuses. La nouveauté de cette cyber-attaque hyper médiatisée (est-ce un hasard?) c'est « l'intelligence » du code complexe Stuxnet capable de modifier les instructions d'un système de pilotage industriel de type Scada. Capable aussi d'acquérir des informations lors de sa « progression » dans les systèmes ciblés.

Oublions les centrifugeuses iraniennes et transposons les « performances » de codes de type Stuxnet sur des univers vulnérables en environnement de type architectures Scada. Que constatons-nous ? D'un coté subsistent en 2015 des systèmes industriels vulnérables et stratégiques (bateaux, avions, trains, satellites, centrales électriques, vannes de barrage, sous-marins…) ; De l'autre, des cyber-attaquants de bons niveaux déploient des codes malveillants « performants » et particulièrement dangereux notamment lorsqu'il s'agit de cyber-attaques de haut niveau (« Étatique »). Ces dernières sont particulièrement présentes sur les environnements SCADA eux mêmes présents chez une large majorité d'OIV (Opérateurs d'importance vitale). Bref codes malveillants « performants » et vulnérabilité SCADA « hyper visibles », le cocktail est explosif. Il empêche de dormir bon nombre de responsables à commencer par Guillaume Poupard directeur de l'ANSSI (Agence nationale de la sécurité des systèmes d'information).

Février 2015 - Guillaume Poupard et d'autres experts participent en présence de deux députés – Gilbert Le Bris et Philippe Vitel – et en compagnie de responsables civils et militaires à un colloque à la Maison de la Chimie à Paris : « 1ere rencontres parlementaires cybersécurité et milieu maritime » (1). Si SCADA à proprement parlé a été très peu évoqué, les cyber-risques liés aux vulnérabilités des bateaux et zones portuaires ont largement dominés les échanges des participants aux deux tables rondes. C'est un secret pour personne: les architectures SCADA demeurent très implantées en milieu maritime comme chez tous les opérateurs de transport (trains, avions...).

Les extraits de déclarations faites par les intervenants révèlent l'importance stratégique d'une cybersécurité de Cyberisques NEWS efficace. Mais comment être efficace contre les cyber-attaques SCADA de haut niveau en 2015 ?  (Lire aussi une étude complète pour les abonnés: le défi SCADA FACE AUX RISQUES DE CYBER-SABOTAGE

Lorsqu'on demande à un expert très réputé dont on taira le nom: sur une échelle de vulnérabilités de 1 à 5 combien estime-t-il celle de SCADA 5 étant le plus exposé aux risque: « 5 de toute évidence ».

Bref SCADA en 2015 est encore trop vulnérable. Si des développements restent à fournir en cybersécurité maritime, une certitude: les mentalités y sont préparées. En outre, la Marine investit sur la sensibilisation et la formation à la cyberdéfense. Comme toutes les armées, la Marine Nationale ne part pas de zéro en matière de cyber Défense. Ces équipes possédent une grande habitude de la protection du secret ainsi que des procédures d'homologation des matériels et logiciels. Reste qu'en environnement civil aussi, les risques liés aux vulnérabilités de SCADA demeurent trop largement ignorés. "En outre compétences et moyens ne sont pas à la hauteur y compris chez certains OIV" ajoute ce spécialiste qui a longtemps travaillé au sein d'une agence gouvernementale.

 

QMax diapo6

 Source GDF

 

Environnement et contraintes en milieu maritime : des systèmes embarqués encore trop vulnérables et des zones portuaires à « cybersécuriser » davantage. Citations.

« Dans un port civil comme celui du Havre et c'est la même problématique pour d'autres comme Marseille, il faut aller vite donc raccourcir l'escale et traiter les informations rapidement tout en détectant d'éventuels problèmes notamment sur les containers. La gestion d'un port militaire est totalement différente des ports civils.»

« Les bateaux peuvent être déviés de leur route par une cyberattaque.»

« Un méthanier lancé sur un port, constitue aussi un risque réel » (Pour rappel, un méthanier tel que le Q-Max mesure 345 mètres de long et 54m de large. Il affiche des mensurations plus grandes que celles du porte-avion Charles De Gaulle. Le méthanier Q-Max est un mastodonte. Le bateau peut contenir jusqu’a 266 000 m3 de GNL, soit l’équivalent de la consommation d’une ville de la taille de Lyon pendant un an.)

« Un sous marin dans un port avec un réacteur allumé peut être à l'origine de sérieux problèmes si une cyber-attaque endommage les pompes de refroidissement du réacteur.»

Un constat : la cyberdépendance s’accroît en milieu maritime avec l'ouverture au protocole IP l'usage de solutions Unix ou SCADA « répandues » et rarement renforcées et l'usage d'applications de plus en plus ouvertes (cf section BONUS en fin d'article).

« Parmi les scénarios plausibles, le déclenchement d'une charge sur un navire de chlore est pris très au sérieux."

« En 2011, une attaque sur le port d'Anvers a eu comme conséquence la « sortie » de containers contenant des stupéfiants. Une clé USB connectée à une poste de travail du SI du port a pu transmettre un malware. Ce dernier est à l'origine de réels dégats qui ont paralysé l'activité en mer et sur terre.»

Autre risque cyber connu, le système d'identification automatique (SIA) ou Automatic Identification System (AISutilisé par tous les navires pour communiquer peut être vulnérable (cf Section BONUS en fin d'article Autres informations pour les Abonnés à Cyberisques).

« Des pirates peuvent "éteindre" à distance ce type de logiciels (AIS) sur beaucoup de bateaux qui devront alors se diriger en mode dégradé s'ils le peuvent

« les Américains rachètent en masse les données enregistrées par AIS qui sont en vente libre. Ces données concernent des messages échangés entre bateaux civils ou/et militaires. Ces données concernent par exemple des informations sur les routes suivies. Ils peuvent revendre ces données car il s'agit d'un réel commerce basé sur un temps de rafraîchissement inférieur à 5 mn et une infrastructure de plus de 150 satellites.» Pour réduire les risques inhérents à l'usage de AIS, une version plus « sécurisée " nommée AIS-X existe et permet d'éviter des usurpations d'identités par exemple. Une autre solution est proposée avec LRIT (http://www.lrit-services.com/), un service sécurisé d'échanges d'informations entre bateaux mais payant alors que l'usage de AIS reste libre.

 

AIS-CYBERISQUES-NEWS-TREND-MICRO-2015

 Source Trend-Micro 2015 Possible AIS attack scenarios

 

« Face à d'éventuels cyber-chantage, les enjeux financiers sont importants. Les mentalités existent et désormais évoluent positivement pour plus de cybersécurité. Outre une vigilance accrue dans les zones d'interfaces entre navires et zones portuaires, il faut se dire que des actions doivent êtres réalisées au plus vite. Le temps de la sensibilisation est passé. Un centre technique dédié aux problèmes de cybersécurité a été créé à Toulon (port qui héberge 70 % des bâtiments de la Marine Nationale). Mais attention, la sur-évaluation des risques constitue aussi un risque. Il s'agit de dépenser 1 aujourd'hui pour ne pas dépenser 10 demain.»

 

Rappels sur SCADA qui concerne 80% des OIV: 

"Scada en 2015, c'est la plus grande vulnérabilité actuelle pour la plupart des OIV" affirme ce consultant de chez Lexis. L'architecture Scada relie des équipements de type automates plutôt que les ordinateurs. Cette configuration gère des systèmes (process) plutôt que des personnes (Voir le tableau  : comparaison des systèmes d'information gestion et Scada). Basé sur des protocoles propriétaires (MODBUS, DNP3 et IEC 60870-5-101...) qui contrôlent les API (Automates Programmables  Industriels). Scada est comme tous système vulnérable si l'on modifie ces instructions (augmentation de la vitesse des moteurs, réduction de la  température, ouverture de vannes… ).


Cinq ans après Stuxnet, la sécurité des automates tout comme l’intégrité des séquences d'exécution adressées aux équipements s'avèrent stratégiques. Problème: sur une très large majorité des architectures Scada tournant dans le monde, l'exposition aux cyber-risques demeure totale  (http://www.cert.ssi.gouv.fr/site/CERTFR-2015-AVI-022/CERTFR-2015-AVI-022.html). Malgré leurs efforts pour réduire ces "trous" de sécurité, les industriels concernés restent discrets, trop ? " Oui, et c'est sans doute une erreur de communication de leur part quand on constate les inquiétudes réelles du marché" affirme ce directeur de la sureté d'un grand acteur de l'énergie en France.

 

AIS-CYBERISQUES-NEWS-TREND-MICRO-3-2015

(Source Trendmicro 2014)

 

A l'évidence, pour l'ensemble des experts, les conséquences du très faible niveau de sécurité des systèmes sous Scada s'avèrent catastrophiques. Dans des secteurs tels que les services publics, le transport, la logistique, la fabrication de produits pharmaceutiques, le gaz, le pétrole, l'énergie électrique, les cimenteries... ces réseaux industriels constituent le cœur du fonctionnement des «  process industriels  » eux mêmes placés à l'épicentre de l'activité des groupes insdustriels.

Dans le secteur des services publics, les architectures Scada sont si importantes qu’elles sont considérées comme faisant partie intégrante de l’infrastructure critique nationale des fameux 247 OIV (Opérateurs d'importance vitale / Lire le dossier OIV pour les Abonnés de Cyberisques).

Dans d’autres secteurs, les infrastructures Scada demeurent souvent invisibles de l'informatique «  classique ». Certaines configurations Scada assurent aussi discrètement l’accès aux bâtiments ou encore le contrôle du chauffage, de la ventilation, des ascenseurs ou du refroidissement des data centers.

 

SCHEMA-COMPROMISSION-SCADA-FORTINET-2015

Source: Fortinet 2015

 

Pour Eric Michonnet (Arbor Networks) «  au moins 80% des OIV (Opérateur d'importance vitale) dépendent pour le fonctionnement de leurs infrastructures vitales de systèmes industriels de type SCADA tout en traitant des données «  stratégiques  » sur des systèmes... sans aucune sécurité pour la plupart.» Des fleurons entiers de la recherche mondiale (Aéronautique, nucléaire, électricité, labos pharmaceutiques, centres d'expérimentation, armée...) demeurent exposer aux cyber-risques et pire sans défense potentielle. De plus, dans une certaine naiveté, les acteurs du monde SCADA livrent sur Internet via certains sites des spécificités techniques jugées désormais confidentielles  (Lire l'étude de Cyberisques NEWS sur SCADA ) . L'interconnexion au Net des SI industriels a totalement changé la donne. Ces derniers sont désormais vulnérables car ils constituent une cible de premier choix pour des opérations de cyber-chantage.

Responsable de millions de voyageurs, que pourra faire un transporteur (bateaux, avions, trains..) lorsqu'il sera victime  d'un cyber-chantage via un risque de cyber-sabotage mettant en cause la sécurité de ses passagers ? Que pourront faire divers opérateurs (Energie, eau, gaz...) et autres industriels face à un cyber-chantage mettant en cause le fonctionnement et la sureté de leurs infrastructures critiques ? 

 

 ------------------------------------------------------------------------------------------------------------------

 

CYBERISQUES NEWS premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX / CODIR

Abonnement individuel par eMail personnalisé

Renseignements Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

----------------------------------------------------------------------------------------------------------------

 

 Et si l'iPhone et autres "consumer product"  devenaient des moyens d'accès dangereux à l'origine de cyber-menaces  industrielles ?

Dans les faits, qui se souvient en août 2012, du groupe pétrolier saoudien ARAMCO qui a vu 40 000 de ses ordinateurs infectés par un malware «  laissé  » par un collaborateur sur le réseau industriel Scada du groupe  ? Risque interne donc mais aussi externe jusqu'au ...particulier. En 2009 un adolescent ingénieux et inconscient a fait dérailler via Internet un tramway en Pologne, démontrant au passage la vulnérabilité du système d’aiguillage. N'évoquons pas les ruptures de pipeline intentionnelles ou encore toujours volontairement l'ouverture de vannes d'usines provoquant une pollution des eaux...

En Grande-Bretagne, des compteurs électriques "intelligents" ont été installés chez les particuliers raccordés à des automates de gestion appartenant à des systèmes SCADA. Sont-ils cyber-sécurisés et jusqu'à quel niveau ? Et ce n'est que le début. Au delà des objets connectés (avec adresse IP), certains mobiles comme l'IPhone disposent de capteurs "à double usage". Désormais il est possible de réaliser des mesures d'horizontalité, de vitesse, ou des analyses vibratoires avec un simple iPhone, comme avec certains équipements industriels. Entre des mains "malveillantes" l'iPhone et autres outils grand public deviennent-ils des vecteur dangereux à l'origine de cyber-menaces  industrielles ?

 

Dagbladet-1-TRAINS-CYBERISQUES-NEWS

Source dagbladet-2014

 

On comprend des lors les recommandations de l'Anssi lors du dernier FIC à Lille sur l'urgence de «  sécuriser  » par classes prioritaires les sites industriels sensibles, sortes de super OIV industriels. «  C'est l'objet d'un nouveau texte qui doit renforcer l'article 22 de la LPM (Loi de programmation militaire) qui décrit pour les sites Scada les modalités d'application des instructions relatives à la sécurité des installations critiques et à leur homologation selon 3 classes  » confie Stéphane Meynet, chef de projet systèmes industriels à l'Anssi. «  si on part de zéro, tout est possible" relève Thierry Jardin, RSSI chez CGI "mais si on part de l'existant le problème posé c'est comment modifier des configurations existantes sans perdre la garantie du matériel du constructeur important en environnement industriel  ?  » D'autant que la majorité des sites équipés d'architectures Scada peuvent encore «  vivre  » une quinzaine d'années en moyenne partout danss le monde. 

Autre frein  : à part les réflexions de l'Anssi, et quelques initiatives individuelles chez les constructeurs de solutions Scada, et quelques acteurs isolés rien n'existe. Encore trop peu de normes (Lire l'encadré sur la normalisation en cybersécurité SCADA pour les abonnés).

Encore très peu de solutions techniques, pas ou peu de transferts de connaissance entre informaticiens et automaticiens, et encore moins de responsables sécurité / sureté dédiés à ces systèmes de plus en plus «  sensibles  ». Qui détient la légitimité pour sécuriser Scada  ?

Plus qu'une évolution, c'est une révolution des mentalités. Ce que résume cet ingénieur de chez Lexis en comparant le nécessaire rapprochement entre la cyber-sécurité des infrastructures de gestion avec celle des infrastructures Scada au rapprochement des années 90-2000 Cisco-Alcatel avec la technologie de la voix sur IP  : «  Scada touche aujourd'hui désormais deux mondes automaticiens et informaticiens comme hier telecoms et informaticiens  ». Une certitude: les solutions de dernières générations basées sur SCADA disposeront de solutions de cyber-sécurité "by design", autrement dit pensées dès la conception des produits et logiciels. Mais en attendant le renouvellement des nombreux SI industriels, l'exposition aux cyber-menaces inquiète les experts. Reste encore a sensibiliser les milieux d'affaires et les politiques.

 

RH: la Sureté avant la CyberSécurité

Coté ressources humaines, rien de très positif non plus dans l'univers Scada. Les automaticiens en charge du bon fonctionnement des équipements gérés par les SI industriels sont, et c'est leur métier, plus tournés vers la sûreté du fonctionnement que vers la prévention d'actes malveillants. «  Dans ce secteur, la prévention s'exerce beaucoup plus contre l'accident, le dysfonctionnement que l’atteinte délibérée à l’intégrité des systèmes ou des données traitées par les automates  » relève Renaud Bidou, directeur technique de Deny All. Lors des ateliers du FIC2014 et FIC2015 sur Scada ces tendances étaient notées. Exemple avec une citation de Emmanuel Dupont, un des rares RSSI en charge de la sécurité des équipements Scada au sein de son groupe (Holcim France Bénélux) résume la situation  : « En Europe, 90¨% des mots de passe des machines Scada en production correspondent à ceux proposés d'office par les constructeurs (Siemens, Schneider...)  ». No comment.


Alors, environnements Scada, nouvelle épée de Damoclès de la cyber-sécurité  ? Pour certains, comme Isabelle Dumont, directrice marketing chez Palo Alto qui prépare des équipements dédiés pour Scada  : «  Il faut moduler, car si 100% des OIV en matière de gestion technique des batiments sont concernés en revanche des systèmes Scada au sens système de production il y en a un peu moins d'autant que ce sont surtout les PIV (points d'importance vitale) qui comptent. Or, chez un OIV, ces PIV représentent environ 5% de l'ensemble des infrastructures Scada    ». Pour cet ingénieur de chez Qualys «  oui, il y a urgence et sur tous les fronts  notamment au niveau des PIV (généralement le PC en amont de l'automate central, la console de supervision...) qui constituent une vulnérabilité largement exploitée.  »

 

Des cibles industrielles stratégiques en sureté de fonctionnement

L'éditeur FireEyes rappelle que le Département américain de la cybersécurité intérieure a observé une augmentation de 52 % en 2012 (par rapport à 2011) d'attaques visant la production d’énergie, d'eau et les centrales nucléaires des États-Unis.  Eric Lemarchand Ingénieur système Fortinet  : «ben environnement Scada, arrêter une unité de production constitue une crainte plus forte que celle d'une cyber-attaque.»

Aujourd'hui, la majorité des architectures SCADA évoluent vers l'interconnexion entre réseaux (notemment de gestion) via le protocole IP. Les SI industriels sont administrés par des environnements potentiellement  vulnérables, comme la plateforme interface homme-machine  équipée d’un système d’exploitation Windows non "patché". Ces environnements «  sensibles  » n’appliquent généralement  pas les patchs des systèmes d’exploitation de peur de nuire à la  production.

Cette crainte l’emporte souvent sur celle  des attaques informatiques potentielles. Les environnements SCADA,  pourtant identifiés comme critiques, sont ainsi paradoxalement les  moins sécurisés. «  Ces systèmes désormais interconnectés avec l'extérieur fonctionnent via des séquences très rapides (de l'ordre de la milliseconde) et ne sont pas pensés pour être sécurisés comme un «  simple  » intranet sous IP  ». explique Stéphane Meynet Chef de projet systèmes industriels à l'Anssi. Comment relever le défi avec une question centrale  : quel compromis doit on trouver entre cyber-sécurité des systèmes sous architecture Scada et efficience ? 

Pour Cyrille Badeau de Sourcefire (racheté par Cisco en 2014) les points de vulnérabilités techniques des systèmes Scada se situent à différents niveaux  : Human Machine Interface (HMI), les serveurs de processus... sont généralement basés sur Microsoft Windows. Ils sont des points d’entrée potentiels pour les auteurs d’attaques désireux d’infiltrer le réseau d’entreprise avec des exploits connus.

La solution, c'est peut être tout simplement de déconnecter les machines Scada d'Internet. Il faudrait dans ces conditions que l'ANSSI et d'autres agences proposent un réseau sécurisé alternatif à Internet. Va t-on se diriger vers la mise en place d'un "intranet militaire" à... usage civil pour OIV ?

Jean Philippe Bichard  rédacteur en chef 

    @cyberisques

 

BONUS :

1 - Les 1E Rencontres Parlementaires Cybersécurité & Milieu Maritime se sont tenues le 12 février 2015 à la Maison de la Chimie à Paris. Elle ont été présidées par Gilbert LE BRIS, député du Finistère, Président de la Délégation française à l'Assemblée parlementaire de l'OTAN, et  Philippe VITEL, député du Var, membre de la commission de la Défense nationale et des Forces armées et de l'Assemblée parlementaire de l'OTAN. Ces rencontres s'inscrivent dans la dynamique portée sur cette thématique par le CyberCercle et inaugurée en septembre dernier par un petit-déjeuner-débat organisé à Toulon, qui a accueilli près de 160 auditeurs.

Traitant à la fois des aspects militaires et civils, les travaux seront ouverts par le Vice-amiral Arnaud COUSTILLIERE, Officier général cyberdéfense à l'état-major des armées, et Francis VALLAT, Président d'honneur du Cluster Maritime Français. Ils seront articulés autour de deux tables rondes thématiques animées par les présidents parlementaires : cybersécurité des bateaux : des enjeux majeurs et la cybersécurité des infrastructures portuaires : une dimension fondamentale de sécurité . Ces Rencontres ont été clôturées par Michel AYMERIC, Secrétaire Général de la Mer, représentant Alain VIDALIES, Secrétaire d'Etat chargé des Transports, de la Mer et de la Pêche. 

 

 Pour en savoir plus sur le CyberCercle:    http://defense-et-strategie.fr/

 

Guide SCADA / ANSSI:      http://www.ssi.gouv.fr/IMG/pdf/Guide_securite_industrielle_Version_finale-2.pdf

Guide CLUSIF:                    https://www.clusif.asso.fr/fr/production/ouvrages/type.asp?id=DOSSIERS+TECHNIQUES#doc283

Guide TREND-MICROhttp://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/wp-a-security-evaluation-of-ais.pdf

Tracabilité:  https://www.shodan.io/report/asclj6Dy 

 

 

 

 Principales vulnérabilités rencontrées dans un système SCADA (Source guide ANSSI)

 

 Architecture et cartographie du SI : ˆ pas d’inventaire du parc de SI industriel, pas d’inventaire des équipements, absence de vision des « générations » technologiques qui cohabitent et de leurs vulnérabilités intrinsèques ; ˆ absence de plan de continuité ou de plan de reprise (DRP), pas d’analyse de risque sur le SI industriel.

Mesures techniques préventives : ˆ mot de passe par défaut pour les comptes de services, les bases de données, les applicatifs, les accès en mode console (PLC, passerelles, équipements réseau), usage de communautés SNMP ; ˆ mot de passe en clair dans les codes sources, dans les procédures d’exploitation et les données sauvegardées ; ˆ faiblesse de gestion des accès utilisateurs : les comptes restent actifs lorsque les intervenants quittent le site, existence de comptes génériques ; ˆ emploi de comptes avec des profils « administrateur » dans les applications, alors que des droits « utilisateur » suffisent ; ˆ partage de fichier sur le réseau en accès complet alors qu’un accès en lecture seule suffit ; ˆ accès en lecture (ou écriture) à des fichiers configurations via FTP ou TFTP ; ˆ outils de prise de main à distance non sécurisés (VNC, Dameware...) : Š services activés sans utilité fonctionnelle, Š emploi de services / protocoles non sécurisés : TFTP, HTTP, Telnet, SNMP v1 ou v2, Š modification en ligne des programmes automates autorisée sans contrôle ; ˆ rechargement de la configuration au redémarrage via clé USB ou MMC17.

Maintenir la sécurité dans la durée : ˆ absence de sauvegarde des données, des codes sources, et de la configuration des équipements ; ˆ absence de politique de gestion des médias amovibles (ex. : blocage des ports USB) alors que les clés USB non maîtrisées sont autorisées ; ˆ peu de supervision, peu de détection d’incidents ; ˆ absence de mise à jour (correctifs) des systèmes d’exploitation, des applications, des firmwares (pour les automates, capteurs/actionneurs intelligents…) ; ˆ absence de mécanisme de signature des firmwares (possibilité pour un attaquant de diffuser une mise à jour piégée).

 

 

AIS-DOC-TREND-MICRO-CYBERISQUES-NEWS-2015Capture

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Informations supplémentaires