Systèmes de contrôle industriels (ICS) : vers une multiplication des attaques

Politique de sécuritéSécurité

Notre monde est de plus en plus connecté. C’est également le cas des usines et équipements industriels, qu’il s’agisse de production d’énergie ou de fabrication de produits de consommation courante.

Il existe en effet des systèmes IoT permettant de rationaliser les processus métiers, avec à la clé une productivité accrue. Mais cette course à l’innovation a un prix.

À l’heure de la convergence entre les technologies opérationnelles (OT) et les technologies de l’information (IT), de nouvelles menaces émergent peu à peu par le biais de protocoles de communication, silos informatiques et matériels obsolètes, qui ne sont pas conçus pour être patchés régulièrement.

Lorsqu’on évoque les menaces inhérentes à l’industrie 4.0, on pense souvent aux attaques sophistiquées visant à provoquer des pannes d’électricité ou à saboter des chaînes de production à l’échelle d’un pays entier, sur fond de tensions géopolitiques.

Mais dans l’immédiat, ce sont les attaques courantes qui sont le plus susceptibles de frapper. Et ce n’est pas une raison pour lever le pied en matière de sécurité ! Bien au contraire : c’est justement pour cela qu’il est crucial de mettre en place un système de défense adapté.

Afin d’approfondir le sujet, Trend Micro a récemment mis au point son propre honeypot ou « pot de miel » industriel.

Attrape-moi si tu peux

Les honeypots offrent aux chercheurs en cyber-sécurité une méthode éprouvée pour réunir de précieuses informations sur leurs adversaires. Mais les cyber-attaquants étant désormais familiers de ce type de piège, les acteurs de la sécurité informatique doivent aller plus loin pour crédibiliser le stratagème.

Dans le cadre de ce projet, les chercheurs ont décidé de se faire passer pour une petite agence de conseil industriel conduisant des projets sensibles pour le compte de clients très pointus. Pour mieux tromper les hackers, ils sont allés jusqu’à réaliser un site web complet et à créer des profils d’employés fictifs sur les réseaux sociaux.

Et pour rendre le tout encore plus crédible, ils ont utilisé un véritable système de contrôle industriel ainsi qu’un mélange d’hôtes physiques et virtuels, avec plusieurs automates industriels programmables, des interfaces homme-machine, des postes de travail techniques et robotisés ainsi qu’un serveur de fichiers.

Pour attirer les cybercriminels, certains ports ont été laissés ouverts sans mot de passe pour permettre d’accéder à des services tels que les systèmes VNC, et des informations ont été publiées sur l’application Pastebin pour permettre de remonter plus facilement à la vraie fausse entreprise.

Constat

Le honeypot a d’abord été piraté à des fins de minage de crypto-monnaies, mais il a également été visé par deux attaques distinctes de ransomwares, via des emails proposant aux victimes de faire évoluer leur forfait pour acheter un nouvel iPhone, ou de convertir leurs miles en cartes cadeaux. Cette expérience livre ainsi des enseignements précieux sur la sécurité des usines intelligentes.

Tout d’abord, il n’est pas indispensable d’exécuter des attaques complexes en plusieurs phases pour perturber des processus métiers ou subtiliser des données sensibles sur l’entreprise. Les attaques en question étaient plutôt simples, mais suffisamment efficaces pour poser de sérieux problèmes, notamment aux petites structures.

Deuxième enseignement : les meilleures pratiques en matière de cyber-sécurité fonctionnent vraiment. Même les mesures les plus élémentaires mises en place au début de l’expérience empêchaient les attaquants d’infiltrer le honeypot. Par exemple, c’est seulement lorsque nous avons ouvert le port VNC que le honeypot a été infecté par un malware de minage de crypto-monnaies.

Les responsables de la sécurité informatique en charge d’environnements de type « usine intelligente » ont donc tout intérêt à filtrer les connexions entrantes et à appliquer des mesures strictes de contrôle d’accès, selon le principe du moindre privilège. Et ce n’est qu’un début. Ces mesures devraient être renforcées par des solutions de sécurité dignes de confiance spécialement conçues pour de tels environnements.

L’objectif : se prémunir de l’exploitation des vulnérabilités et des canaux de communication non sécurisés, et fournir une meilleure visibilité des actifs OT.

 

Auteur
En savoir plus 
Directeur Technique Europe du Sud
Trend Micro
Renaud Bidou est Directeur Technique Europe du Sud chez Trend Micro. il travaille en étroite collaboration avec les équipes de R&D et avec le  laboratoire de recherche de Trend Micro.
En savoir plus 

Livres blancs A la Une