C&ESAR 2013 - Jour 1
Introduction.
La région rennaise est en train de devenir l’un des barycentres de la SSI. Le livre blanc, et les budgets accordés à la Cyberdéfense renforcent l’importance de cet axe de développement.
Les systèmes de contrôle industriels (nommés à tors SCADA), sont des composant clefs des infrastructures vitales. En 2007, quand la problématique commençait à monter, il était difficile de déterminer s’il fallait s’en inquiéter sur le plan SSI, et puis les systèmes industriels sont issus de la sureté de fonctionnement, donc on pouvais penser à tors que la sécurité était prise en compte. Effectivement, ce n’est pas vraiment le cas, et depuis Stuxnet les systèmes de contrôle industriels sont un enjeu de la SSI. C’est pourquoi la thématique de C&ESAR de cette année porte sur les systèmes SCADA et les systèmes de contrôles industriels.
Les systèmes industriels ont été développés dans le « monde des bisounours » et se sont retrouvé interconnectés aux systèmes de supervision pour une plus grande réactivité et une plus grande productivité.
Il y à quelques dizaines d’années, la communauté de la sécurité des systèmes de contrôles industriels était très petite et pas très prise au sérieux, depuis du chemin à été fait, mais les défis SSI de ces systèmes restent devant nous.
L’impact des attaques SCADA est concret et direct sur le fonctionnement des systèmes sous contrôle. Contrairement à un SI qu’on peut rebooter, et dont on peut se passer de certains composants, un système de contrôle malmenée lui, n’y survivra pas. La cyberdéfense est donc un enjeux de souveraineté nationale et la loi de programmation militaire qui suit le livre blanc viendra consacrer la cyberdéfense comme un axe majeur. Et ces enjeux touchent directement le citoyen au travers des infrastructures vitales. Les conséquences d’une coupure d’électricité sur le fonctionnement de notre société sont grandes, et l’état s’y prépare au travers des actions menés par l’ANSSI et le ministère de la défense.
Sans capacités industrielles de sécurité fortes, nous resterons dépendant de la protection américaine. De ce fait, la France au travers du livre blanc compte bien disposer d’une capacité de réponse et de riposte aux agressions informatiques. Réponse maitrisée au travers d’une chaine de commandemant capable de piocher dans toutes les forces du ministère de la défense.
La mise en place de cette capacité de réponse s’accompagnera du développement d’un centre d’excellence cyberdéfense sur la région bretagne.
Evolution de la menace Informatique
Démonstration d’attaque SCADA par DGA-MI. Le système pris en exemple est similaire à n’importe quel automate présent dans le monde civil ou militaire. La maquette simule un système de contrôle de propulsion avec deux hélices symbolisés par deux ventilateurs.
Au début confiné aux systèmes d’informations, la menace informatique à pris de l’ampleur et touche aussi bien les systèmes d’armes que les systèmes de contrôle. Les systèmes de contrôles industriels possèdent toutes les caractéristiques d’un ordinateur. Ils disposent d’une capacité de stockage, d’un système d’exploitation réduis, et de capacités de communication. Qui dit capacités de communications, dit portes d’accès à ces systèmes, nottament via Internet.
Dans le cadre de la démo, l’utilisateur chargé de la maintenance du système SCADA dispose d’un poste utilisateur connecté à internet, et d’un accès au système de contrôle au travers d’un PC isolé de l’internet. L’utilisateur victime de l’attaque fait l’objet d’un Social Engineering mis en oeuvre au travers d’informations collectés sur les réseaux sociaux professionels. L’orateur prend en exemple un profil réel d’un marin en charge d’un tel système. L’utilisateur est en suite piégé au travers d’une pièce jointe qui offre à l’attaquant une porte d’entrée sur son PC. L’attaquant piège en suite les clefs usb qui sont connectés au pc de l’utilisateur avec un programme malveillant. Une fois la clef branchée sur le pc de contrôle de l’Automate, ce dernier se fait attaquer par le malware présent sur la clef, entrainant le disfonctionnement d’une des deux hélices forçant le « bateau » à tourner en rond.
Problématiques de sécurité sur un navire de guerre.
L’incident majeur redouté sur un navire, c’est avant tout l’incendie. Un ensemble de systèmes présent sur le navire fonctionnent avec des technologies reposant sur des automates industriels. Contrôle des moteurs radars, contrôle des trappes d’ouverture des missiles, torpilles etc.. tout ces composants reposent sur des OS et des automates industriels.
Un navire de guerre ne se conçoit pas sur la même échelle de temps qu’un système d’information. Ils sont conçus sur 5/10 ans et sont prévus pour fonctionner 30 ans. Il n’est donc pas concevable de changer à tour de bras les automates présents sur de tels systèmes. Et la ou ça coince, c’est que les navires concus avant Stuxnet doivent être mis à jour en tenant compte de cette contrainte. Les installations portuaires elles aussi doivent être mises à jour pour tenir compte des nouvelles menaces.
Les systèmes de combats sont principalement basé sur linux, les systèmes d’information eux sont plutôt basés sur windows, et ils utilisent TCP/IP pour communiquer, ils embarquent parfois même des interpréteurs java. Alors forcément c’est plus simple de mettre au point des attaques pour ces composants sur étagères. Bon alors forcément, c’est compliqué de mettre un anti-virus là dedans (ça serais dommage de devoir attendre la fin du scan anti-virus pour pouvoir faire tourner le bateau).
On l’a compris, le cycle de vie d’un bateau est très long, alternant phases d’exploitation et de maintenance, et assurer la sécurité du batiment au travers de ces phases n’est pas une mince affaire. Entre fournisseurs et utilisateurs, c’est pas les vecteurs d’attaques qui manquent. En plus il n’y a pas masse de firewalls spécialisés SCADA en dehors de quelques poc académiques. Le SI d’un bateau intègre donc des composants de sécurité sur étagère, SIEM, chiffrement, cloisonnement réseau etc… pour assurer le maximum de protection possible. Malheureusement lorsqu’un bateau est en mer, on ne peut faire venir d’experts sur place… il faut donc que les équipages soient autonomes pour maintenir le SI en état. Et mettre en oeuvre les process et formations qui vont leur permettre d’être autonomes.
Sécurité des systèmes de contrôle industriel – Spécificités et défis associés.
Les clients de shneider electric viennent de plus en plus voir les responsable de la maintenance des systèmes industriels avec des questions ou carrément des politiques de sécurité à implémenter dans le système de contrôle. Et là commence le dialogue, qui n’est pas toujours évident parceque le client ne parle pas toujours le même language que l’industriel.
Un système industriel, c’est aussi bien du contrôle de l’électricité dans un batiment, que la gestion d’une centrale d’épuration ou une usine chimique, voir carrément d’un smartgrid de distribution d’électricité ou des infrastructures de transport automatisés (métro, oléoduc, etc…).
Dans ces systèmes la disponibilité est une priorité absolue. La durée de vie est une contrainte bien plus forte que dans les SI classque, car ces systèmes sont conçus pour durer 20, 30 ou 40 ans. Ces systèmes de contrôles industriels se basent sur un panel de fournisseurs très grand, et il n’est pas rare d’avoir des dizaines de technologies différentes qui sont difficilement interopérables dans la durée. Ces systèmes s’accompagnent de conditions environementales extrèmes (humidité, corrosion, explosions, température, pression, radiations…) et là c’est difficile de trouver des produits de sécurité capable d’encaisser de telles conditions.
Les sites d’un système industriel sont parfois très éclatés géographiquement, ce qui pose des problèmes d’interconnections, il faut donc mettre en place des réseaux de communications pour la télémaintenance, et la sécurisation des site pose là encore problème. Les intervenants sont donc mobiles et possèdent leur propres moyens informatiques pour faire les mises à jour et autre opérations de maintenances. Ces moyens informatiques se retrouvent donc connectés de systèmes en systèmes et peuvent propager d’éventuels malwares.
Dans un système de contrôle industriel on distingue deux composants clefs, le SCADA: un pc avec une IHM et des librairies dédiés pour communiquer avec des Automates qui disposent de leur propre OS et système de communication. Les contraintes temps-réel entre Automate et SCADA au niveau communication et exécution des ordres sont de l’ordre de la milliseconde, là ou au niveau du SI, on est plus sur des temps de réponse à la seconde. L’échelle de temps est donc une forte contrainte.
Coté puissance de calcul, les ressources au niveau des automates sont très limités comparé à nos processeurs modernes. Et il est donc très délicat d’implémenter des contrôles embarqués dans ces puces. De même des composants en coupure entre Automate et SCADA eux aussi peuvent induire des latences qui peuvent poser problème quand aux temps de réponse attendus.
Les contraintes de maintenances des systèmes industriels imposent une rétro-compatibilité empéchant la mise à jour des protocoles de communications employés dans ces automates. Ces protocoles sont simples, avec des trames courtes et sans dispositifs de sécurité. Et en plus ces protocoles sont nombreux et pas forcément bien documentés. Les Automates sont déterministes, et les modes de fonctionnements sont définis. De ce fait, ils ne sont pas capable de gérer la non-éxécution d’une commande dans leur fonctionnement.
Le Patch Management:
La disponibilité du système de contrôle commande étant clef, on ne touche pas à un tel système lorsqu’il fonctionne de peur d’un effet de bord induis par un Patch. Les arrêts planifiés sont très courts, un à deux arrêts par an !! voir pas d’arret du tout, et c’est quand ça casse que l’on patch. Forcément avec une fenêtre si courte, il est difficile de patcher 400 automates en une semaine.
Le contrôle d’accès logique:
Bon un mot de passe fort c’est bien, mais quand il faut relancer un système en urgence pour sauver la vie d’un patient qui dépend de la relance des onduleurs. Il n’est pas évident de s’en souvenir, et les erreurs dues à la panique font perdre de précieuses secondes.
La biométrie c’est bien sympa, mais certains environement ne sont pas compatibles du fait de la poussière, de la graisse sur les mains voir de la combinaison NBC. De même on ne peut pas verrouiller une console SCADA parceque l’on risque de passer à coté d’une information critique, la console SCADA servant d’outil de visualisation de l’état du système.
L’antivirus:
Entre les faux-positifs et la perte de disponibilité du logiciel métier parceque l’anti-virus met en quarantaine une dll système importante peuvent mettre en arrêt un site de production voir pire… Heureusement la maintenance est simple au niveau d’un poste SCADA, et elle concerne quelques fichiers sur une clef usb pouvant être scanné avant introduction sur le post, la console SCADA servant d’outil de visualisation de l’état du système.
Le Firewall:
la latence réseau induite par un composant de filtrage direct est trop importante avec les pare-feux existants.
Les IDS:
Il est difficile de trouver des scénarios d’attaques valides ou des opérateurs de SIEM capable d’interpréter les évènements de sécurité issus d’un système de contrôle industriel
(Une vision bien fermée et réductrice des solutions de sécurité alors que le développement de composants à base de FPGA permet de régler les problèmes de filtrage de paquets réseaux à haute performance permettant de répondre aux besoins de performance. Coté transferts de mises à jour, des solutions existent)
Retour d’expérience RTE suite à Stuxnet.
par le RSSI de RTE, Réseau de Transport Electricité, Gestionnaire du réseau de tranport de l’électricité en France. Il s’agit donc d’un opérateur d’infrastructure vitale. Sa sécurité doit répondre à un grand nombre de contraintes réglementaires. Ce réseau de transport est interconnecté à différents producteurs & consomateurs, ainsi qu’avec de nombreux pays. Les fournisseurs d’électricité sont en concurence, et les clients sont libres de choisir leur fournisseur qui doivent passer par RTE pour la distribution.
Le réseau est opéré à 4 niveaux, chaque niveau disposant de son propre SCADA pour sa supervision. le système est découpé en deux SI, un de gestion type Intranet, et un autre dédié à la gestion du « Temps Réel », et des pare-feux assurent l’isolation.
Historiquement le système de contrôle était basé sur des relais, puis il est passé à un contrôle électronique. Ces systèmes étaient très peu sensibles aux attaques informatiques. Puis les microprocesseurs sont arrivés sous forme de composants isolés. et enfin sont arrivé les systèmes SCADA.
stuxnet arrivant, Siemens à averti RTE, qui a procédé à une campagne de scan de tout ses postes. Aucune trace de stuxnet, mais 20% des postes étaient infectés par divers malwares.
après coup, l’intéret pour la politique de sécurité du SI à gagné en intéret, et des anti-virus ont été déployés là ou c’était possible dans le réseau « temps réel ». On sent bien que les opérateurs industriels sont obligés d’attraper le train de la SSI en marche.
