Depuis l’attaque Stuxnet en 2010, les publications de failles et d’outils offensifs ciblant les composants SCADA se multiplient. Thomas Houdy, directeur Innovation au sein du cabinet de conseil en cybersécurité LEXSI, revient sur la problématique de sécurité des systèmes industriels critiques, au travers de la Loi de Programmation Militaire et les dispositions relatives à la protection des infrastructures vitales contre la cybermenace (chapitre IV et les articles 21 à 25).
Depuis l’attaque Stuxnet en 2010, les publications de failles et d’outils offensifs ciblant les « composants SCADA » se sont multipliées. Par ailleurs, de nombreux systèmes sont exposés et accessibles directement sur Internet et peuvent être détectés au moyen de simples requêtes dans un moteur de recherche. Concrètement : il peut suffire de quelques clics de souris pour accéder à des fonctions de pilotage et perturber significativement le comportement d’un site industriel.
Le cocktail est simple et potentiellement explosif
-Des centaines d’automates et autres composants industriels « SCADA » sont en production avec des configurations et mots de passe par défaut.
-Ces équipements sont fréquemment connectés sur Internet afin d’en faciliter l’exploitation et l’administration à distance.
-Même s’ils ne sont pas reliés à Internet, ces automates communiquent de plus en plus via le protocole TCP-IP et les variantes industrielles non sécurisées (industrial ethernet, modbus-tcp, profinet, DNP3) ; ils sont donc a minima exposés sur le réseau local.
-Réseau informatique bureautique et réseau industriel sont rarement parfaitement étanches ; il est possible qu’un virus ou un pirate puisse passer du SI de gestion au SI industriel. Les audits menés par LEXSI depuis plusieurs années l’ont amplement démontré.
-Il existe aujourd’hui une multitude de travaux de recherche, de publications, de démonstrations sur la faiblesse de ces systèmes ; de nombreux outils offensifs sont disponibles sur Internet.
-Les systèmes exposés sur Internet sont indexés par des moteurs de recherche spécifiques comme Shodan, ou par des moteurs génériques tels que Google ou Yahoo, ce qui les rend facilement identifiables et accessibles pour une personne malintentionnée.
-D’un côté, les constructeurs et éditeurs de logiciels et matériels industriels mettent à disposition sur leur site Internet les documentations détaillées (dans lesquelles les mots de passe par défaut sont souvent mentionnés), et d’un autre, les firmwares que les chercheurs et les pirates s’empressent d’analyser pour y trouver des portes dérobées, soit pour les publier, soit pour les exploiter.
Au vu des éléments précédents, on aura compris qu’il ne faut pas être un grand hacker pour identifier des systèmes vulnérables et en prendre le contrôle. En revanche, les difficultés apparaissent rapidement lorsque l’entreprise prend conscience du problème et souhaite y remédier. Facteur aggravant : elle a bien souvent peu de ressource humaine et financière à accorder à cette problématique. Aujourd’hui de nouveaux outils existent et permettent aux OIV comme aux « OI N V » (opérateurs d’importance non vitale !) de s’organiser pour rattraper le retard en matière de sécurité des systèmes informatiques industriels.
Loi de Programmation Militaire – la genèse
Suite à la publication du Livre Blanc sur la défense et la sécurité nationale le 29 avril 2013, le projet de LPM est déposé le 2 août par le Ministre de la Défense. Le texte subit ensuite plusieurs amendements et le 21 octobre, le Sénat adopte une première version du texte. Le 3 décembre, après avoir été amendé en commissions, l’Assemblée Nationale adopte le texte en première lecture. Le 10 décembre 2013, le Sénat adopte sans modification le projet modifié par l’Assemblée Nationale. Enfin, la loi est finalement votée et promulguée le 18 décembre 2013 par le Président de la République et publiée au Journal Officiel le 19 décembre 2013. Un décret d’application en Conseil d’Etat est désormais attendu afin de préciser certains points de cette loi. Ce décret sera donc soumis à l’avis du Conseil d’Etat et également de la CNIL.
Parallèlement à ces travaux législatifs, l’ANSSI a mis en place un groupe de travail sur la cybersécurité industrielle auquel LEXSI a participé aux côtés de constructeurs, éditeurs, intégrateurs du monde industriel ainsi que d’autres sociétés de sécurité. L’objectif de ce groupe de travail était de compléter les documents cybersécurité industrielle publiés par l’ANSSI en juin 2012. En janvier 2014, en synchronisation avec la publication de la LPM, les travaux du groupe de travail sont mis en ligne.
Que dit le chapitre IV de la Loi de Programmation Militaire ?
Le chapitre IV de la LPM porte sur la « protection des infrastructures vitales contre la cybermenace » et présente un certain nombre de mesures réparties dans les articles 21 à 25 repris ci-dessous. Une majorité d’articles fait référence ou amende différents textes.
L’article 21 introduit deux nouveaux articles de loi dans le Code de la Défense.
-Le premier précise les responsabilités en matière de sécurité et de défense des systèmes d’information, sous la coordination du Premier ministre.
-Le second autorise (car c’est réellement répréhensible) les services de l’Etat à utiliser des outils offensifs, à caractériser une attaque par tous les moyens nécessaires puis à contreattaquer pour neutraliser ces systèmes. Est également autorisée, la détention d’outils permettant d’analyser les attaques (ex. : outils d’ingénierie inverse).
L’article 22 modifie ou crée un ensemble d’articles au sein du Code de la Défense :
-Rappel en section 1 du Code de la Défense des obligations générales applicables aux Opérateurs d’Importance Vitale
-Détails en section 2 des obligations spécifiques sur la sécurité des systèmes d’information :
-Obligation pour les OIV de mettre en œuvre des mesures de sécurité. L’article cite l’exemple de mise en œuvre de solutions de détection d’événements de sécurité. Ces solutions et les prestataires qui les exploitent doivent être « qualifiés » par le Premier ministre. A ce jour, les solutions et prestataires éligibles ne sont pas nombreux ;
-Obligation de déclaration immédiate de tout incident affectant le système d’information ;
-Audit des systèmes à la demande du Premier Ministre (pas de périodicité explicitement imposée) par l’ANSSI ou autre service de l’Etat, ou par une société labellisée ;
-Pouvoir du Premier ministre pour imposer aux OIV les mesures nécessaires en cas de crise;
-Précisions sur la confidentialité des informations recueillies.
-Un décret précisera les modalités d’application de ces obligations.
-La section 3 détaille les dispositions pénales pouvant être prises à l’encontre des OIV en cas de non-respect des obligations : 150 000 € pour une personne physique (dirigeant d’OIV) et 750 000 € pour une personne morale.
L’article 23 modifie deux articles du Code Pénal relatifs aux infractions et peines encourues.
L’article 24
-Modifie l’article L. 34-1 du code des postes et des communications électroniques
-Introduit un troisième article au Code de la Défense qui autorise les services de l’Etat à recueillir des informations sur les utilisateurs de systèmes d’information « vulnérables,menacés ou attaqués », celai afin de les avertir.
Reste à définir ce qu’est un poste vulnérable ou menacé … Espérons que les centaines de systèmes SCADA français, accessibles sur Internet avec des mots de passe par défaut, feront partie de cette catégorie et que leurs propriétaires seront notifiés et « fortement encouragés » à durcir leurs systèmes. Idem pour les imprimantes, systèmes de vidéoconférence, webcam, serveurs web vidéo ou objets connectés également présents (comprendre indexés et accessibles avec des mots de passe simples) sur Internet.
L’article 25
-Modifie le code de la propriété intellectuelle afin d’autoriser l’étude et les tests des fonctionsde sécurité (paragraphe 3 de l’article L122-6-1) des logiciels
-Modifie l’article 323-3-1 du Code Pénal afin de légitimer la détention et l’utilisation d’outils spécifiques de sécurité à des fins « de recherche ou de sécurité informatique ».
Il y a dix ans l’article 46 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique interdisait la détention et l’utilisation de tels outils, qui sont au cœur du travail des auditeurs de la sécurité des systèmes d’information de LEXSI et d’autres cabinets spécialisés !
La question qui se pose alors est la mise en œuvre réaliste de ces exigences et du calendrier prévisionnel tout aussi réaliste pour cette mise en œuvre. Soyons francs, il y a du travail, en particulier du côté des autorités :
-Décret d’application
-Déclinaison par typologie d’industrie
-Certification / labellisation de logiciels et matériels de sécurité compatibles pour les infrastructures critiques
-Certification / labellisation de prestataires habilités à auditer les OIV
-Définition d’un incident de sécurité afin de répondre à la section 2 de l’article 22 qui impose la déclaration des incidents. Une fois définis les incidents à remonter, il faudra ensuite formaliser le processus et l’outillage nécessaire à ces déclarations afin d’en garantir notamment la confidentialité.
-Détails des calendriers d’audit et de ce qui sera exigible en 2014, 2015 et au-delà, au regard de la loi. Il est néanmoins probable que les OIV bénéficieront d’une certaine tolérance au moins sur 2014 et 2015. Mais ensuite, dura lex, sed lex.
-Recrutements et, bien entendu, formations.
Mais projetons nous maintenant du côté des industriels qui, en ce qui concerne les OIV, doivent appliquer la loi, et pour les autres, peuvent s’en inspirer et s’appuyer notamment sur les outils de l’ANSSI. Concrètement, comment aborder un projet de sécurisation d’un site industriel ? Quels sont les chantiers prioritaires, selon quel calendrier ? Quels sont les outils organisationnels et techniques disponibles ?