Accueil Cybercriminalité Comprendre les attaques en environnement Scada

Comprendre les attaques en environnement Scada

Portrait Ruchna Nigam
Ruchna Nigam

L’attaque informatique menée en 2010 à l’aide du virus Stuxnet contre l’arsenal nucléaire iranien reste à ce jour la meilleure illustration de la vulnérabilité des systèmes industriels de type Scada (Supervisory Control And Data Acquisition). Depuis combien de temps ces menaces en environnement Scada existent-elles, comment ont-elles fonctionné et quels ont été leurs impacts? Ruchna Nigam, chercheur en sécurité au sein des FortiGuard Labs, fait le point.

Scada est un terme générique qui décrit des systèmes utilisés de contrôle des équipements physiques. Ces systèmes permettent de nombreuses applications industrielles, qu’il s’agisse de piloter des turbines électriques, gérer les pipelines d’eau ou de gaz, contrôler les détecteurs de métal dans les aéroports et autres espaces publics, ou encore garder la main sur des processus de chauffage, de climatisation ou de consommation énergétique. Qu’une attaque ciblant de tels systèmes puisse aboutir à des dommages particulièrement lourds font des systèmes Scada des cibles privilégiées pour les hackers.

Malheureusement, il aura fallu une attaque de l’ampleur de Stuxnet pour sensibiliser les acteurs industriels aux impacts destructeurs de ces cybermenaces. Si les attaques ciblant les ordinateurs résultent généralement dans des dommages immatériels, Stuxnet, en revanche, témoigne de la puissance de frappe des vers et virus, véritables menaces pour les données corporate, mais aussi pour les systèmes de gestion d’eau, la production des produits chimiques ou les infrastructures d’énergie.

Stuxnet, cependant, n’est pas le seul virus à cibler les environnements SCADA. Voici un panorama d’attaques ciblant les environnements Scada, répertoriées en trois catégories :

 

  • Attaques non confirmées

1982 : la première attaque ciblée pourrait bien dater de 1982. Selon le “Dossier Farewell”, la CIA américaine aurait été impliquée dans la vente de produits et d’équipements « modifiés » à l’Union Soviétique. Un cheval de Troie, introduit dans ces équipements, a abouti à l’explosion d’un pipeline transsibérien de gaz. Cette “attaque” n’a jamais été officiellement confirmée dans le dossier Farewell, qui se contente de mentionner des turbines défectueuses, sans parler de l’accident.

1999 : D’après certaines informations, le géant pétrolier russe Gazprom, aurait été ciblé à l’aide d’un cheval de Troie déployé sur leur plateforme de gestion des pipelines. Cette attaque aurait permis de mettre à l’arrêt le contrôle des flux de gaz pendant quelques heures. A noter que cet incident n’a jamais été reconnu par Gazprom.

 

  • Cibles collatérales

De nombreux systèmes Scada ont été attaqués fortuitement par des virus qui ne les ciblaient pas en particulier.

2003 : la centrale nucléaire de Davis-Besse et CSX Corporation, aux États-Unis, ont été victimes des vers Slammer et Sobig respectivement. Slammer a abouti à un déni de service et a ralenti le réseau, tandis que Sobig a initié des campagnes de spam email.
->Dommages physiques: aucun pour la centrale Davis-Besse, mais Slammer a mis le réseau SCADA à l’arrêt chez un autre acteur des Utilities resté anonyme. Le virus Sobig a infecté un ordinateur du siège social de CSX Corporation, mettant à l’arrêt les systèmes de signalisation et d’aiguillage notamment, entraînant des retards importants dans la circulation ferroviaire.

2004 : Des acteurs du transport tels que British Airways, Railcorp et Delta Airlines ont été ciblés par le ver Sasser qui a su exploiter une vulnérabilité entraînant un dépassement de tampon et l’infection d’autres systèmes vulnérables. Certaines variantes agressives auraient causé des congestions du réseau.
->Dommages physiques: retard pour les avions et les trains, voire des annulations dans certains cas.

2009 : la marine française a été victime du ver Conficker qui s’est infiltré via une vulnérabilité ou a détourné des identifiants/mots de passe administrateur pour s’installer. Le ver s’est ensuite propagé vers des machines tierces vulnérables pour y installer des malware supplémentaires.
->Dommages physiques: téléchargement impossible de plans de vol, entraînant un confinement au sol d’avions.

 

  • Attaques ciblées reconnues

Voici un exemple d’attaques conçues sur mesure pour cibler les systèmes Scada.

2009 : Exxon, Shell et BP comptent parmi les géants du pétrole, du gaz et de la pétrochimie à avoir subi le virus Night Dragon dont l’infection est liée à une campagne de spear phishing. Le virus a permis une prise de contrôle à distance des systèmes infectés par les assaillants.
->Dommages physiques: aucun, bien que, selon certaines sources, les assaillants auraient détourné des schémas d’exploitation de systèmes Scada, ainsi que des données.

2010 : Stuxnet est un ver informatique utilisé pour espionner et reprogrammer les systèmes industriels du site nucléaire iranien de Natanz. Ce virus a su intercepter et modifier les données d’un automate programmable.
->Dommages physiques : destruction d’un cinquième des centrifugeuses nucléaires en Iran.

2014 : voici deux virus identifiés comme actifs en 2014 mais n’ayant donné lieu à aucun signalement par les organisations impactées. Havex était proposé en tant que mise à jour (infectée par un cheval de Troie) pour les systèmes Scada, à partir de sites Web piratés de fournisseurs. Le virus analyse le réseau local à la recherche de serveurs qui collectent des données à partir d’équipements industriels, puis route ces données vers un serveur Command & Control. Les motivations des hackers : l’espionnage industriel et le détournement de données.
->Dommages physiques : aucun

Blacken, identifié sur le serveur Command & Control d’un botnet existant, cible les utilisateurs du logiciel SCADA GE Cimplicity et installe des exécutables dans le répertoire du logiciel, dont certains sont des bots administrés à distance. Le malware identifie également les fichiers de conception de Cimplicity, mais l’utilisation précise qui en est faite n’a pas été identifiée à ce jour.
->Dommages physiques : aucun connu à ce jour

Enfin, selon un rapport du Bureau de la Sécurité Informatique allemande, une attaque ciblée sur le réseau informatique d’une aciérie Outre-Rhin s’est soldée par un impact particulièrement lourd. Les assaillants ont utilisé des emails de spear phishing et des techniques évoluées d’ingénierie sociale pour accéder au réseau de l’aciérie, puis à son réseau industriel. Le rapport souligne l’expertise technique des hackers, en matière de réseaux IT traditionnels, mais aussi sur le terrain des systèmes industriels et des processus de production.
->Dommages physiques : si le rapport livre peu de détails sur le malware en lui-même, il révèle néanmoins le lourd impact de l’attaque sur les modules de contrôle, mettant à l’arrêt un haut-fourneau et causant des dommages majeurs.

Au final, sur la base des exemples présentés ci-dessus, les attaques sont encore loin d’être généralisées, en dépit de cibles Scada particulièrement lucratives. En dehors de Stuxnet et du virus ayant ciblé l’aciérie allemande, les attaques n’ont pas engendré de destructions matérielles. La raison ? Ces attaques sophistiquées nécessitent un savoir-faire technique évolué, une parfaite connaissance de l’infrastructure ciblée, ainsi que des ressources financières importantes, ce qui n’est pas le cas pour tous les cybercriminels. En se penchant sur l’évolution de la cybercriminalité, nous pouvons néanmoins nous attendre à une recrudescence des attaques destructives, ce qui invite plus que jamais les entreprises à s’y préparer.