Tech

SCADA : les systèmes de télégestion ne sont pas sûrs !

Dossier - Les compteurs intelligents, nouvelle menace ?
DossierClassé sous :informatique , compteur , bombe

-

Le piratage informatique attise les peurs des gens. Mais une nouvelle menace, aux conséquences bien plus dommageables, concerne les compteurs intelligents : guerre informatique, atteinte à la vie privée... Quelles sont ces menaces ?

  
DossiersLes compteurs intelligents, nouvelle menace ?
 

Créés pour permettre le contrôle à distance et la surveillance de processus industriels, la télégestion de systèmes d'approvisionnement, de transport et les canalisations de produits chimiques, de gaz, de pétrole, d'eau et d'électricité, les systèmes SCADA sont souvent perçus par les spécialistes de la sécurité informatique comme un maillon faible qu'auraient beau jeu d'exploiter des cyberterroristes, pirates informatiques ou hackers militaires.

Système de surveillance. © GlebStock, Shutterstock

En 2007, le projet Aurora avait ainsi démontré la possibilité de pirater le système SCADA d'un générateur électrique afin d'entraîner son autodestruction. Or, et comme le souligne l'un des experts interrogés dans un documentaire de CBS, ces générateurs coûtent très cher, ils ne sont plus fabriqués aux États-Unis, et il faudrait des mois pour s'en procurer d'autres ou les réparer, ce qui aurait des conséquences non seulement économiques, mais également politiques.

Les conséquences d'un piratage de système SCADA

En 2008, le Club de la sécurité de l'information français (CLUSIF) évoquait, dans une étude sur les enjeux de sécurité des infrastructures SCADA, plusieurs explosions dans des usines chimiques, le fait que des sites nucléaires, guichets automatiques bancaires, systèmes de signalisation ferroviaire avaient été perturbés par des vers informatiques, entraînant, dans un cas, l'arrêt de 13 usines d'assemblage de véhicules, dans un autre l'arrêt d'une station nucléaire.

Le système SCADA permet de surveiller et de gérer le système d'installation d'une entreprise par exemple, par un principe de centralisation des données. © seg-ps.com

La présentation évoquait également plusieurs actes de malveillance ayant perturbé des feux de signalisation, systèmes d'approvisionnement en eau, et même la prise de contrôle et le déraillement, par un adolescent, de quatre wagons.

 Dans une intervention intitulée Electricity for Free? présentée lors du dernier Black Hat (l'un des symposiums les plus réputés en matière de sécurité informatique), en juillet dernier, Jonathan Pollet, spécialiste de la sécurité SCADA chez Red Tiger Security, a expliqué avoir identifié 38.000 problèmes de sécurité, lors de 100 audits, effectués sur 10 ans. Alors que la durée de vie (c'est-à-dire le temps avant qu'il ne soit infecté ou compromis) d'un ordinateur non protégé est estimée à 4 minutes, pour Jonathan Pollet, « les systèmes SCADA sont bien moins sécurisés que les systèmes informatiques ».

Au cours de ses audits, il a ainsi trouvé, sur des ordinateurs reliés à des systèmes SCADA, toute sorte de programmes qui n'avaient rien à y faire, mais qui pouvaient à contrario servir de vecteur ou de relais d'attaques : logiciels P2P ou de messagerie instantanée, scripts de téléchargement de vidéos pornographiques, et même des chevaux de Troie et autres malwares. « Ce n'est qu'une question de temps : d'ici peu, nous assisterons à bien plus d'attaques ou d'incidents sur des réseaux SCADA du fait de l'absence de mesures de sécurité, ou de systèmes de défense mal configurés. Il faut nommer des responsables sécurité de ces systèmes. C'est une bombe à retardement. »

La menace Stuxnet

Découvert en juillet dernier, le vers Stuxnet serait le premier virus expressément créé pour infecter les systèmes SCADA. Soixante pour cent des systèmes infectés auraient été situés en Iran. Pour Raphaël Marichez, de la société de sécurité HSC, Stuxnet constituerait « un tournant », ouvrant la voie à « des virus exploitant des vulnérabilités grand public, avec la complicité de grandes firmes étrangères, pour cibler un système industriel précis. »

À défaut de connaître son auteur, et donc savoir s'il s'agit bel et bien d'une tentative d'espionnage industriel, voire d'espionnage tout court, on notera que, toujours cet été, un rapport du ministère de l'Énergie américain constatait que les infrastructures énergétiques américaines étaient vulnérables à des attaques informatiques, faute d'effectuer correctement les mesures basiques de sécurité censées les protéger, ou encore parce qu'elles sont reliées à l'internet, utilisent des systèmes d'exploitation grands publics et des ordinateurs improprement sécurisés.

Stuxnet exploitait ainsi une faille Windows, et se propageait via des clefs USB préalablement contaminées (par l'internet, ou sciemment), dès lors qu'elles étaient connectées au PC, même si celui-ci était pourtant à jour en terme de correctifs de sécurité. En 2009, la Marine nationale française avait ainsi dû couper son réseau après avoir été contaminée par un virus, introduit par une clé USB dans son système Windows, pourtant déconnecté du Net.