Alexia BETTAYEB

Le reproche qui est fait aux industries de ne pas investir suffisamment dans une cyberprotection régulièrement actualisée est-il réellement justifié ? Les cyberattaques massives de virus tels que le ransomware Wannacry sur de nombreuses entreprises en mai dernier, ou Industroyer qui, selon une étude (1) de chercheurs en cybersécurité, aurait temporairement mis hors service une centrale électrique en Ukraine fin 2016, mettent en exergue la vulnérabilité des infrastructures critiques et de leurs moyens de protection actuels.

La plupart des infrastructures critiques dans le monde ont été conçues pour être isolées physiquement, répondant à des exigences strictes de sécurité. Nombreuses sont celles qui ont été construites avant l’ère de la communication numérique, ce qui fait qu’elles sont encore plus vulnérables aux cyberattaques. Les infrastructures industrielles ont aujourd’hui besoin de faire entrer et sortir de l’information, qu’elles soient connectées ou non. D’ailleurs, la clé USB, qui est souvent le moyen utilisé pour échanger des données dans les structures non connectées, s’avère être un vecteur encore plus dangereux que le réseau, car faiblement protégé.

Il est particulièrement difficile et coûteux de mettre à jour les systèmes contrôlant les procédés industriels. Ce sont souvent des systèmes Windows vieillissants, pour lesquels l’application régulière de nouveaux patchs transmis par le fabricant mettent en péril la disponibilité, voire le bon fonctionnement, de leur usine. Les systèmes de contrôle industriels sont généralement vulnérables à des attaques qui exploitent des failles déjà corrigées par Microsoft depuis des années. De plus, les protocoles industriels utilisés au niveau du contrôle-commande sont généralement dépourvus de sécurité (comme le protocole utilisé en Ukraine et exploité par Industroyer). D’autre part, des personnes externes chargées de la maintenance des systèmes contrôlant le processus sont amenées à intervenir sur le site et disposent souvent d’outils indispensables à leur travail sur leur ordinateur portable, non gérés par l’usine. Ce sont donc des vecteurs (généralement involontaires) de contagion.

Le problème est surtout à ce niveau : de nombreuses industries ne sont économiquement et structurellement pas en mesure d’absorber les baisses de productivité et la formation permanente de personnel dédié, inhérentes à des interventions régulières de cyber protection (comme l’application de nouveaux patchs par exemple).

L’attaquant n’a eu qu’à se perfectionner depuis 30 ans

On peut continuer à tenter de contrer chaque nouvelle cyberattaque, avec toujours une longueur de retard vis-à-vis des pirates. Ceux-ci, de plus en plus nombreux, structurés et financés, n’ont eu qu’à se perfectionner sur leur terrain de guerre depuis 30 ans, c’est-à-dire une surface connectée qui ne cesse de croître. Et le champ des possibles reste immense, puisque de plus en plus d’industries et d’objets sont connectés.

Des virus tels que Stuxnet, qui s’est propagé par clé USB, ou Industroyer, qui s’est répandu depuis des ordinateurs connectés, ont déjà fait beaucoup de dégâts, car ils ont pu accéder plus ou moins directement au réseau d’automates de contrôle et de commande. C’est le principe de Cyber Kill Chain® (2) : le virus y accède d’abord pour installer une backdoor et un canal de contrôle via Internet, puis faire de la reconnaissance (afin de savoir quels protocoles sont utilisés), et enfin lancer une attaque quand le moment est intéressant (par exemple avant Noël pour l’attaque en Ukraine).

Approche next-gen : s’affranchir de la couche de transport pour échanger les données

Peu de produits de cybersécurité sur le marché sont conçus pour le contexte particulier des industries. Pour protéger une infrastructure, il faut un sas physique contre les attaques numériques qui permette de séparer les couches de communication et de s’affranchir du support de transport.

L’avantage pour la mise en place d’une telle protection est que les systèmes de contrôle industriels sont conçus en couches, par exemple selon un schéma Purdue Model (3) : en haut se trouvent des protocoles standard de l’IT, puis un des protocoles industriels et IT mêlés, et enfin la couche exclusivement industrielle. Un dispositif de cloisonnement entre ces différentes zones est donc relativement simple à installer. Ainsi, la défense en profondeur s’avère particulièrement adaptée à ce type d’architecture.

Seclab vs Industroyer

La technologie mise au point par Seclab combine l’électronique et le logiciel. Cette approche technologique garantit un cloisonnement strict par électronique des réseaux et des ports USB, permettant la communication sans la connexion directe.

Dans les solutions Trust et Secure Exchange (technologie Denelis de Seclab), les protocoles peuvent être filtrés selon plusieurs règles de sûreté de fonctionnement et de cybersécurité propres à l’infrastructure.

Plusieurs boîtiers Denelis de configuration différente peuvent être mis à chaque intersection de zones du modèle Purdue. Au plus haut, le principe est de laisser passer les protocoles IT, puis de limiter peu à peu aux protocoles industriels.

Exemple d’une architecture simplifiée :

Le Denelis 1 transfère des fichiers (idéalement signés) et des protocoles indispensables non filtrés sur la couche applicative. Ainsi, le Denelis rend complexe la compromission du contrôle commande. Pour y arriver, il faudrait par exemple un accès physique, un vol de la clef de signature des fichiers autorisée ou une faille dans un protocole non filtré (le responsable de la sécurité pouvant décider de réduire au strict minimum les protocoles autorisés suivant la criticité de l’installation).
La rupture réseau de Denelis et une bonne configuration empêchent une partie conséquente de la phase de reconnaissance depuis les zones les plus hautes du modèle Purdue. En cascade de cette première rupture électronique, nous recommandons d’utiliser une solution logicielle de filtrage (par exemple Stormshield ou Wallix) qui sera paramétrée selon le métier, que l’on retrouvera de manière figée dans le Denelis 2.

Le Denelis 2 filtre des protocoles industriels avec des règles adaptées au procédé, à savoir juste ce qu’il faut pour le piloter en toute sûreté, pas plus (au travers d’une liste blanche de commandes). Dans le cas de l’attaque par Industroyer de la centrale électrique de Kiev en décembre 2016, il aurait pu empêcher les commandes incohérentes d’être exécutées, ou au moins avertir les opérateurs que des commandes suspectes étaient passées.
Ce boîtier Denelis peut ainsi empêcher les attaques sur le procédé avec un filtrage conçu avec le métier.

En conclusion, pour empêcher un virus d’atteindre les systèmes critiques, il faut marquer une rupture dans son parcours numérique. L’échange de fichiers ou de flux applicatifs doit pouvoir se faire entre deux domaines réseaux disjoints sans créer de route réseau entre les domaines. La contamination est ainsi  bloquée dans un sas, évitant par design de se propager dans le reste du flux. Cette approche next-gen de cybersécurité permet ainsi l’échange de données saines, sans continuité réseau. Et bonne nouvelle, la solution existe. Elle est concrètement réalisable dans le contexte industriel, tout simplement parce qu’elle peut être implémentée sans perturber la vie de l’usine et sans avoir à former ses usagers.

 

(1) Etude par ESET, WIN32/INDUSTROYER, A new threat for industrial control systems, Anton Cherepanov, ESET Version 2017-06-12
(2) Principe de Cyber Kill Chain : concept introduit par Lockheed Martin
(3) Schéma Purdue Model : développé par Theodore J. Williams et Industry-Purdue University Consortium for Cmputer Integrated Manufacturing

__________________________

Xavier Facélina et Benoît Badrignans,
Experts en cybersécurité pour systèmes critiques et cofondateurs de Seclab