En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
agenda
Agenda
Solutions IT
  • 15/11/2017
    Cloud Expo Europe Paris 2017

    Cloud Expo Europe, Paris 2017, c'est le grand rassemblement d'experts dédiés au Cloud. Parmi les…

    en détail En détail...
  • 06/12/2017
    Paris Open Source Summit

    Paris Open Source Summit, premier événement européen libre et open source, est le fruit de…

    en détail En détail...
Innovaphone_AnywhereWorkplace_leaderboard

Comprendre les attaques en environnement Scada

Global Knowledge_Docker_pavé

L’attaque informatique menée en 2010 à l’aide du virus Stuxnet contre l’arsenal nucléaire iranien reste à ce jour la meilleure illustration de la vulnérabilité des systèmes industriels de type Scada (Supervisory Control And Data Acquisition). Depuis combien de temps ces menaces en environnement Scada existent-elles, comment ont-elles fonctionné et quels ont été leurs impacts? Ruchna Nigam, chercheur en sécurité au sein des FortiGuard Labs, fait le point.

Scada est un terme générique qui décrit des systèmes utilisés de contrôle des équipements physiques. Ces systèmes permettent de nombreuses applications industrielles, qu’il s’agisse de piloter des turbines électriques, gérer les pipelines d’eau ou de gaz, contrôler les détecteurs de métal dans les aéroports et autres espaces publics, ou encore garder la main sur des processus de chauffage, de climatisation ou de consommation énergétique. Qu’une attaque ciblant de tels systèmes puisse aboutir à des dommages particulièrement lourds font des systèmes Scada des cibles privilégiées pour les hackers.

Malheureusement, il aura fallu une attaque de l’ampleur de Stuxnet pour sensibiliser les acteurs industriels aux impacts destructeurs de ces cybermenaces. Si les attaques ciblant les ordinateurs résultent généralement dans des dommages immatériels, Stuxnet, en revanche, témoigne de la puissance de frappe des vers et virus, véritables menaces pour les données corporate, mais aussi pour les systèmes de gestion d’eau, la production des produits chimiques ou les infrastructures d’énergie.

Stuxnet, cependant, n’est pas le seul virus à cibler les environnements SCADA. Voici un panorama d’attaques ciblant les environnements Scada, répertoriées en trois catégories :

 

  • Attaques non confirmées

1982 : la première attaque ciblée pourrait bien dater de 1982. Selon le « Dossier Farewell », la CIA américaine aurait été impliquée dans la vente de produits et d’équipements « modifiés » à l’Union Soviétique. Un cheval de Troie, introduit dans ces équipements, a abouti à l’explosion d’un pipeline transsibérien de gaz. Cette “attaque” n’a jamais été officiellement confirmée dans le dossier Farewell, qui se contente de mentionner des turbines défectueuses, sans parler de l’accident.

1999 : D’après certaines informations, le géant pétrolier russe Gazprom, aurait été ciblé à l’aide d’un cheval de Troie déployé sur leur plateforme de gestion des pipelines. Cette attaque aurait permis de mettre à l’arrêt le contrôle des flux de gaz pendant quelques heures. A noter que cet incident n’a jamais été reconnu par Gazprom.

 

  • Cibles collatérales

De nombreux systèmes Scada ont été attaqués fortuitement par des virus qui ne les ciblaient pas en particulier.

2003 : la centrale nucléaire de Davis-Besse et CSX Corporation, aux États-Unis, ont été victimes des vers Slammer et Sobig respectivement. Slammer a abouti à un déni de service et a ralenti le réseau, tandis que Sobig a initié des campagnes de spam email.
->Dommages physiques: aucun pour la centrale Davis-Besse, mais Slammer a mis le réseau SCADA à l’arrêt chez un autre acteur des Utilities resté anonyme. Le virus Sobig a infecté un ordinateur du siège social de CSX Corporation, mettant à l’arrêt les systèmes de signalisation et d’aiguillage notamment, entraînant des retards importants dans la circulation ferroviaire.

2004 : Des acteurs du transport tels que British Airways, Railcorp et Delta Airlines ont été ciblés par le ver Sasser qui a su exploiter une vulnérabilité entraînant un dépassement de tampon et l’infection d’autres systèmes vulnérables. Certaines variantes agressives auraient causé des congestions du réseau.
->Dommages physiques: retard pour les avions et les trains, voire des annulations dans certains cas.

2009 : la marine française a été victime du ver Conficker qui s’est infiltré via une vulnérabilité ou a détourné des identifiants/mots de passe administrateur pour s’installer. Le ver s’est ensuite propagé vers des machines tierces vulnérables pour y installer des malware supplémentaires.
->Dommages physiques: téléchargement impossible de plans de vol, entraînant un confinement au sol d’avions.

 

  • Attaques ciblées reconnues

Voici un exemple d’attaques conçues sur mesure pour cibler les systèmes Scada.

2009 : Exxon, Shell et BP comptent parmi les géants du pétrole, du gaz et de la pétrochimie à avoir subi le virus Night Dragon dont l’infection est liée à une campagne de spear phishing. Le virus a permis une prise de contrôle à distance des systèmes infectés par les assaillants.
->Dommages physiques: aucun, bien que, selon certaines sources, les assaillants auraient détourné des schémas d’exploitation de systèmes Scada, ainsi que des données.

2010 : Stuxnet est un ver informatique utilisé pour espionner et reprogrammer les systèmes industriels du site nucléaire iranien de Natanz. Ce virus a su intercepter et modifier les données d’un automate programmable.
->Dommages physiques : destruction d’un cinquième des centrifugeuses nucléaires en Iran.

2014 : voici deux virus identifiés comme actifs en 2014 mais n’ayant donné lieu à aucun signalement par les organisations impactées. Havex était proposé en tant que mise à jour (infectée par un cheval de Troie) pour les systèmes Scada, à partir de sites Web piratés de fournisseurs. Le virus analyse le réseau local à la recherche de serveurs qui collectent des données à partir d’équipements industriels, puis route ces données vers un serveur Command & Control. Les motivations des hackers : l’espionnage industriel et le détournement de données.
->Dommages physiques : aucun

Blacken, identifié sur le serveur Command & Control d’un botnet existant, cible les utilisateurs du logiciel SCADA GE Cimplicity et installe des exécutables dans le répertoire du logiciel, dont certains sont des bots administrés à distance. Le malware identifie également les fichiers de conception de Cimplicity, mais l’utilisation précise qui en est faite n’a pas été identifiée à ce jour.
->Dommages physiques : aucun connu à ce jour

Enfin, selon un rapport du Bureau de la Sécurité Informatique allemande, une attaque ciblée sur le réseau informatique d’une aciérie Outre-Rhin s’est soldée par un impact particulièrement lourd. Les assaillants ont utilisé des emails de spear phishing et des techniques évoluées d’ingénierie sociale pour accéder au réseau de l’aciérie, puis à son réseau industriel. Le rapport souligne l’expertise technique des hackers, en matière de réseaux IT traditionnels, mais aussi sur le terrain des systèmes industriels et des processus de production.
->Dommages physiques : si le rapport livre peu de détails sur le malware en lui-même, il révèle néanmoins le lourd impact de l’attaque sur les modules de contrôle, mettant à l’arrêt un haut-fourneau et causant des dommages majeurs.

Au final, sur la base des exemples présentés ci-dessus, les attaques sont encore loin d’être généralisées, en dépit de cibles Scada particulièrement lucratives. En dehors de Stuxnet et du virus ayant ciblé l’aciérie allemande, les attaques n’ont pas engendré de destructions matérielles. La raison ? Ces attaques sophistiquées nécessitent un savoir-faire technique évolué, une parfaite connaissance de l’infrastructure ciblée, ainsi que des ressources financières importantes, ce qui n’est pas le cas pour tous les cybercriminels. En se penchant sur l’évolution de la cybercriminalité, nous pouvons néanmoins nous attendre à une recrudescence des attaques destructives, ce qui invite plus que jamais les entreprises à s’y préparer.

Auteur : Juliette Paoli

Comprendre les attaques en environnement Scada
Notez cet article

Laisser un commentaire

RGPD : sensibiliser les collaborateurs

Le nouveau règlement européen sur la protection des données (RGPD) s'appliquera le 25 mai 2018. Conscio Technologies propose un parcours de sensibilisation pour les collaborateurs.

Découvrir le programme de sensibilisation

Sondage

Windows 10 et vous

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
Témoignages
Juridique
  • Amazon : Bruxelle veut mettre au pas le géant américain - 250 M € à rembourser

    Bruxelles inflige aujourd'hui une amende de plusieurs centaines de millions d'euros à Amazon, alors que…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • Faille WAP2 : Krack ou l'hypocrisie mondiale des maîtres du monde

    Pour Frans Imbert-Vier, PDG d'UBCOM (société spécialisée sur le digital et la cybersécurité), si la…

    > En savoir plus...
Etudes/Enquêtes
  • RGPD : plus de la moitié des entreprises françaises non conformes, le DSI est au centre du jeu

    Un peu moins de 45 % des professionnels estiment être 100% conformes à ce jour…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement

Guide de la cybersécurité 2017-2018

Global Knowledge_Docker_Skycraper
Agenda
livres blancs
Les Livres
Blancs
  • Menaces avancées, découvrez les techniques de détection avancée

    > Voir le livre
  • Usages et technologies : concrétisez la transformation digitale de votre métier

    > Voir le livre
Bomgar_Cybersecurity_skycraper