Vulnérabilité aux attaques

Le ver est dans la chaîne

d'Lëtzebuerger Land vom 10.05.2013

Selon une enquête du magazine allemand en ligne heise.de, les installations industrielles sont beaucoup plus vulnérables aux virus et attaques informatiques qu’on pourrait le supposer. On les imagine en général protégées parce que leurs systèmes de gestion sont produits sur mesure, donc uniques et imperméables aux attaques ciblant des failles de systèmes d’exploitation ou de programmes, et n’ont besoin que d’interfaces limitées avec Internet.

Il n’en est rien : les hackers sont capables de se procurer les informations nécessaires pour pénétrer ces systèmes, qui sont pour eux des objectifs particulièrement tentants. Les virus utilisés sont les mêmes que ceux qui attaquent les serveurs des centres de données, Stuxnet ou Duqu notamment, dont la notoriété résulte de leur utilisation ces dernières années par des services de renseignement.

Mais la pénétration des systèmes de gestion des installations in-dustrielles peut aussi résulter d’inadvertances ; Heise cite le cas de l’opérateur d’une chaîne de montage automobile allemande qui, souhaitant écouter un peu de musique durant son poste de nuit, inséra une clé USB dans le principal ordinateur de contrôle de l’installation qu’il surveillait. Un ver qui se trouvait sur la clé en profita pour se propager dans l’ensemble du réseau de pilotage de la chaîne, le surchargeant d’ordres de calculs simultanés au point que la chaîne dut être stoppée tout un weekend. Autres cas cités par Heise : en Australie, un homme âgé de 49 ans a été condamné à une peine d’emprisonnement pour s’être introduit dans le pilotage informatique d’une station d’épuration et avoir lâché dans la nature des millions de litres de boues non épurées. Chez Chrysler, le ver Zotob a pénétré 13 usines en 2005, causant une interruption de production d’une heure et mettant 50 000 ouvriers au chômage technique.

Les choix des concepteurs de système de gestion de production sont déterminants pour déterminer leur niveau de vulnérabilité. Or, la tendance semble être de créer de plus en plus systématiquement des interfaces avec les systèmes de gestion administrative, notamment avec les réseaux de vente, afin de parvenir à une plus grande intégration entre les départements commercial, comptable et productif. Un autre talon d’Achille est celui des mises à jour des logiciels qui composent ces systèmes. Dans un souci de protection (colmater les failles) et d’automatisation de ces mises à jour, la tendance est à la création d’interfaces avec le Net pour le téléchargement et l’installation de patches de sécurité. Ce sont ces interfaces qui deviennent des points d’entrées pour les hackers.

Résultat, l’institut Fraunhofer de sécurité informatique, à Darmstadt, est submergé de demandes de l’industrie manufacturière. Il faut dire que les hackers font preuve d’une inventivité croissante pour obtenir l’accès convoité aux installations de production. Il existe un marché noir de « zero day exploits », qui documentent des failles logicielles non encore exploitées. Un expert de l’Office fédéral de sécurité des systèmes informatiques va jusqu’à imaginer un sabotage dans lequel les points de soudure sur la chaîne d’un constructeur automobile seraient modifiés, entraînant une fragilité de la carrosserie et un cauchemar réputationnel pour l’industrie automobile allemande.

À quel point ces craintes sont-elles attisées par ceux qui louent leur expertise sécu-ritaire aux entreprises censées être vulnérables ? Ou par les vendeurs de systèmes de protection anti-virus ? Et que peuvent espérer gagner les hackers, à part la « satisfaction » de lire dans le journal les conséquences de leurs « exploits » ? On se doute que ce ne sont pas les industriels victimes de telles attaques qui vont s’en vanter, ni détailler les éventuelles tractations avec les hackers qui s’essayeraient dans un tel contexte au chantage. L’espionnage industriel peut aussi être la motivation des hackers, la structure des systèmes de gestion de la production pouvant s’avérer plus révélatrice qu’une visite d’usine. La crise économique exacerbe vraisemblablement le phénomène, en encourageant certains acteurs à choisir l’illégalité plutôt que d’exercer leur expertise informatique en cherchant à conquérir des parts de marché légitimes.

Jean Lasar
© 2017 d’Lëtzebuerger Land