lundi 17 septembre 2012

Le CERTA fait la part-belle aux SCADA

Conjoncture ou tendance de long-terme, nombre des dernières annonces du CERTA ces dernières semaines révèlent des vulnérabilités décelables au sein de systèmes et logiciels informatique participant à des processus industriels.

Ainsi, et l'on doit à ce billet à cette alerte, une publication du 10 septembre révèle de multiples vulnérabilités au sein d'un système dénommé WinCC et développé par l'industriel Siemens. Tout analyste des questions "cyber" aura déjà reconnu un des logiciels ciblés par le malware Stuxnet. Pour mémoire, quelques bonnes informations figurent sur wikipédia.

En bref, Indusoft ISSymbol, Wago System ou encore Honeywell HMIWeb sont des systèmes de type SCADA qui présentent des vulnérabilités révélées par l'ANSSI (et d'autres) ces dernières semaines.

La société Wago semble proposer des produits pour le monde des énergéticiens. Le produit de la société Honeywell serait à priori utilisé pour la gestion de certains composants au sein d'immeubles. Et comme une image vaut mieux qu'un long discours, voici dans quel environnement s'insère le produit Indusoft.


La publication des vulnérabilités SCADA dans les informations du CERTA est très certainement révélateur d'une tendance. Les problématiques spécifiques de ces produits bien particuliers sont depuis longtemps connus et évoqués mais si beaucoup de discours ont été fait, le traitement réservé au sein du "monde" SSI est longtemps resté différent. 

Le cas "Stuxnet" a pourtant changé tout cela en démontrant par un certain succès que l'exploitation était non seulement possible mais réellement efficace et que la protection par l'isolation et la déconnexion ne suffisait plus. Une forme accrue de défense en profondeur devait être absolument mise en place.

Pour mémoire, la spécificité de ces produits repose sur deux critères principaux : le lien avec des processus opérationnels souvent très sensibles et une informatique complexe, ancienne et notoirement différente des systèmes informatiques de "gestion". Ajoutant à cela que ces systèmes étaient la plupart du temps déconnectés, les craintes des spécialistes de sécurité ont souvent été écartées. 

Mais deux facteurs ont échappé à ceux qui accusaient la SSI de crier au loup : d'une part une convergence entre systèmes bureautique et systèmes industriels. L'usage des systèmes Windows et des technologies modernes de communication ou encore des standards Web en sont la preuve : les systèmes SCADA sont parfois connectés à Internet. D'autre part, en matière d'attaques informatiques, si le jeu en vaut la chandelle, les moyens investis seront massifs et l'absence de connexion n'est pas un frein réel : la preuve en a été donnée.

Si les publications de l'ANSSI sont révélateur d'une propension croissante à intégrer cette informatique dans la SSI "courante", il demeure toutefois un acteur à impliquer : les constructeurs. Comme nous l'évoquions, un système SCADA possède un lien fort avec un processus souvent sensible (pas toujours !) : il est donc parfois difficile de l'arrêter, de le re-démarrer...bref, de le maintenir dans des conditions de sécurité acceptables. Pour cela, c'est une architecture ou "design" des produits qu'il faut revoir et cela implique plusieurs acteurs.

Cette question reste donc sensible et difficile et nécessite, au-delà des aspects techniques, une coordination entre plusieurs secteurs et une forme plus globale de gouvernance ou de politique. Peut-être est-ce à l'ANSSI d'y répondre également...

Source :

Aucun commentaire:

Enregistrer un commentaire