SEMAFOR-CONSEIL
Votre guide en cybersécurité
Menu

Quand les pirates informatiques vous privent de votre essence et de votre bière

Dans les entreprises, il y a des systèmes informatiques. Ces systèmes servent à toutes sortes de choses comme la paie (on aime ça, la paie), la comptabilité, les finances, les courriels, l’intelligence d’affaire, le site web, l’extranet, le site interne des ressources humaines (pour faire diverses demandes, comme les vacances), et j’en passe des tonnes. Les utilisations des systèmes informatiques ne connaissent plus de limites. Et ces systèmes informatiques prennent maintenant les formes les plus diverses.

Un casino piraté via ses thermomètres

Par exemple, un casino en Amérique du Nord a installé un thermomètre intelligent dans un des aquariums du casino. Ce thermomètre était connecté à un PC qui permettait de monitorer la température de l’eau et l’ajuster en continu pour garder la température de l’eau optimale. L’ensemble thermomètre-PC constitue un système informatique malgré les apparences, avec toutes les implications qui y sont associées. C’est-à-dire que le PC est connecté sur le réseau, il fait tourner un système d’exploitation (par exemple Windows) qui doit être patché, il contient des comptes utilisateurs, etc.

Le problème ici c’est que ce système informatique a été piraté par l’intermédiaire du thermomètre. Les pirates se sont ainsi emparés du PC à distance et ont pu l’utiliser comme plateforme d’accès et d’attaque pour tenter de voler des données plus loin sur le réseau. Ces pirates ont réussi à voler 10GB de données et à les téléverser sur un serveur Finlandais.

Heureusement, l’incident était mineur et les opérations du casino n’ont pas souffert.

Les pirates informatiques nous privent de bière...

Mais que se passerait-il si des systèmes informatiques étaient utilisés dans le cadre des opérations de l’entreprise? Le producteur de bière Molson en a fait l’expérience au printemps 2021 quand une cyber-attaque (un ransomware) a impacté ses opérations dans 3 pays. L’attaque coïncidait en plus avec la fermeture de son usine au Texas due à une tempête de neige et à la mise en production d’une nouvelle usine à la fine pointe de la technologie. Il a fallu plusieurs semaines à Molson pour s’en remettre.

… Et de carburant!!

La compagnie Colonial Pipelines a subi au printemps 2021 une cyber-attaque qui l’a obligé à cesser ses opérations. Le ransomware (vous voyez la tendance. Ne manquez pas notre article sur les ransomwares) derrière cette attaque a rendu plusieurs systèmes inopérants et la compagnie a mis son pipeline hors-fonction par précaution.
Il semblerait, en première analyse, que Colonial Pipelines n’avait pas de cyberdéfense, même celle de base. Pas surprenant alors que ça soit arrivé.

Comme dit l’expression malheureusement devenue populaire, on ne dit pas « si » nous allons subir une cyber-attaque, mais plutôt « quand ».

Comment en sommes-nous arrivés là ?

Une entreprise qui dépend de systèmes informatiques pour la continuité de ses opérations devrait analyser le risque de ne pas protéger ses systèmes IT (Information Technology) et ses systèmes OT (Operational Technology, qu’on appelle aussi ICS ou SCADA). Ces systèmes incluent les périphériques intelligents tels que :
  • dispositifs de mesure de pression, de température, de vitesse, d’accélération, d’altitude, etc.
  • dispositifs contrôlés à distance tels que actuateurs, valves de pression, moteurs, pistons hydrauliques, etc.
  • senseurs de présence, caméras, détecteurs de chaleur, d’eau, etc
  • tous les ordinateurs qui interagissent avec les dispositifs ci-haut, peu importe leur technologie ou leur forme
  • tous les réseaux reliant ces appareils entre eux, qu’ils soient avec fil, sans fil, cellulaires, satellitaires ou autre
Comme vous voyez, la variété des systèmes ICS est grande et comme ces dispositifs ne sont en général munis que de processeurs d’entrée de gamme, ils ne peuvent pas prendre en charge des mécanismes de protection qui sont exigeants en puissance de traitement, comme le chiffrement. De plus, en termes de logiciel, ces dispositifs ont des firmwares (ou micrologiciel, microprogramme, microcode, logiciel interne ou encore logiciel embarqué) , c’est-à-dire un logiciel de petite taille, ne comportant que les fonctions minimales requises pour opérer le dispositif. Les firmwares sont particulièrement susceptibles aux attaques informatiques.

Alors que les méthodes de protection des systèmes TI sont connues et ne demandent qu’à être mises en place, la protection des systèmes ICS demande plus de doigté.

Alors que l’on peut faire des balayages de vulnérabilité sur les systèmes TI, ça n’est pas nécessairement possible avec les systèmes ICS. Ces systèmes sont quelques fois vieux sans connectivité IP native. La connectivité IP a été ajoutée après coup avec de la quincaillerie additionnelle. Certains de ces équipements, vont se mettre en mode « mise à jour du firmware » si nous envoyons simplement un « ping » (ping est un utilitaire réseau de vérification de connectivité) et se mettre en attente de téléchargement d’une nouvelle version de firmware (ceci constituerait d’ailleurs une attaque de déni de service).
Il est alors facile de comprendre que dans ces conditions, la conduite d’un balayage de vulnérabilités n’est pas envisageable.

Un défi passionnant à relever !

Je n’ai fait qu’effleurer les systèmes ICS dans cet article, le domaine étant beaucoup plus complexe.
Dans le but d’aider les entreprises Suisses à faire face aux défis de la protection de ces systèmes, et aussi dans le but de contribuer à l’éducation des entrepreneurs Suisses à la problématique de cybersécurité de ces systèmes, Sémafor Conseil offre un portefeuille de formations spécifiques aux systèmes ICS :

  1. Introduction à ICS/SCADA : Le programme d’introduction à ICS/SCADA a été conçu principalement pour l’industrie de la sécurité et visait à permettre aux participants de comprendre le monde des ICS.
  2. Exploitation IdO : Le cours est basé sur l’utilisation théorique et pratique des vulnérabilités dans les dispositifs IdO, l’architecture des dispositifs IdO, l’identification des surfaces d’attaque et l’exploitation des vulnérabilités IdO.
  3. Forensique Systèmes de Contrôle Industriel ICS : Le cours Cybercriminalité ICS/SCADA entraîne à la découverte des cybermenaces sur les systèmes ICS/SCADA ainsi qu’à la détection des faiblesses et des vulnérabilités intrinsèques et zero-day.
  4. Tests d’intrusion ICS : Cette formation couvre les méthodes d’attaque possibles par des entités hostiles et les défis de sécurité qui en découlent naturellement.

Ces cours sont destinés aux passionnés qui désirent en apprendre plus sur les systèmes ICS ou se former dans un domaine d’avenir, aux membres d’équipes techniques dans les entreprises aux prises avec ces défis, aux étudiants des hautes écoles qui désirent bâtir une spécialité.

Découvrez l’entièreté de notre portefeuille de formations, les pré-requis, et le contenu détaillé de chaque cours sur la page de formation du site web de Sémafor Conseil.

Partager/Share:

Facebook
Twitter
LinkedIn

Autres publications/Other posts:

SEMAFOR-CONSEIL
Politique de confidentialité
Contact