Une installation industrielle fictive a été déployée pendant 6 mois par l’éditeur de solutions de sécurité. Ce honeypot a connu un succès certain auprès des hackers de tous poils, selon Trend Micro, rencontré à l’occasion du FIC 2020.
Pendant 6 mois, Trend Micro a mis en ligne un honeypot visant à attirer les hackers spécialisés dans le piratage des sites industriels. Lors du FIC, Renaud Bidou, directeur technique de Trend Micro pour l’Europe du sud, est revenu sur cette expérience riche en enseignements, à l’occasion du FIC 2020 : « Il ne s’agissait pas de simplement créer un site web, mais bien de simuler une installation industrielle crédible pour les attaquants. Cet honeypot se composait ainsi de plusieurs niveaux, avec un volet IT classique connecté à un niveau de contrôle des installations industrielles lui-même relié à des équipements fictifs. Outre un faux site web institutionnel, c’était une infrastructure complexe que nous avons déployée virtuellement pour faire croire à une vraie entreprise. » Avec ce faux site industriel, l’éditeur souhaitait attirer les attaquants qui agissent de manière globale avec des outils tels que Shodan pour rechercher un système IoT d’un certain type afin de mettre à profit une faille, quel que soit l’industriel. L’autre profil, très recherché par les chercheurs de Trend Micro, était le hacker expert menant une attaque ciblée sur un industriel afin de bloquer sa chaîne de production et le soumettre à un racket.
Le petit industriel n’est pas à l’abri…
« Dans 99 % des cas, un honeypot attire le tout-venant, très rarement une attaque ciblée » reconnait Renaud Bridou. « Nous pouvions penser que les systèmes industriels font l’objet d’attaques ciblées afin d’atteindre des entreprises bien précises au moyen d’un plan d’attaque très évolué. Qui allait vouloir s’attaquer à cette entreprise totalement inconnue ? » Les experts en sécurité de Trend Micro ont dû se rendre à l’évidence. Leur honeypot a été l’objet d’énormément d’attaques plutôt basiques, avec des tentatives d’installation de cryptominer, des ransomware, tout ce que l’on a l’habitude de voir dans l’informatique classique. « Beaucoup considèrent encore que seuls les gros sites industriels hyper-sensibles pouvaient être la cible des attaquants, or il n’en est rien. Le petit industriel qui exploite quelques automates industriels ou quelques imprimantes 3D n’est pas à l’abri puisque l’essentiel des attaques sont à large spectre, visent tous azimuts pour utiliser de la puissance de calcul, de la bande passante et du ransomware. » L’informatique industrielle est désormais soumises aux mêmes menaces que l’informatique de gestion. L’attaque du botnet Mirai en 2016 contre les serveurs DNS de Dyn avait déjà établi que les attaquants étaient à la recherche de ressources dans l’IoT. Le honeypot de Trend Micro démontre que cette quête peut toucher n’importe quel industriel, même totalement virtuel…
Auteur : Alain Clapaud