G Data Software Analyse - Cyber terrorisme dans l'industrie, nouvelle menace ?
Est-il possible d’infecter des systèmes de production dans le but de bloquer tout ou partie d’une économie ? Aux yeux de la population, le cyber terrorisme est un terme qui n’introduit encore que peu de crainte. Appliquée au secteur de l’industrie, la conscience du risque est encore plus lointaine. A travers Aurora et Stuxnet, les deux plus importantes attaques ciblées jamais identifiées jusqu’alors, Eddy Willems, Security Evangelist chez G Data Software AG montre sur deux approches différentes qu’à l’avenir il convient de se poser les bonnes questions sur la protection des industries.
Extraits de l'analyse d'Eddy Willems (analyse complète dans le fichier PDF joint)
Aurora : quand technicité et ingéniosité se rencontrent
En décembre 2009 et janvier 2010, les réseaux de plusieurs compagnies parmi les 100 premières mondiales ont été pénétrés par ce qui sera dénommé plus tard l’attaque Aurora. La victime la plus connue d’Aurora était Google en Chine mais plus de 30 autres grandes entreprises ont vu leur réseau pénétré grâce au niveau de sophistication élevé de cette attaque. Après sa découverte, Aurora a été décrit par des experts comme « le malware le plus sophistiqué jamais créé ». Si pour les entreprises attaquées (et leurs clients) la situation a été incommodante, les conséquences n’ont toutefois pas été dévastatrices. Le but était l’espionnage de la société mais aucun risque ne courait sur la population mondiale.
Stuxnet : les systèmes de production peuvent aussi être infectés
Un peu plus tard cette même année 2010, Stuxnet était l'autre grande attaque. Les concepteurs de Stuxnet ont de loin dépassé les concepteurs d’Aurora sur un aspect clé : à la différence d’Aurora, Stuxnet ne s'est pas fondé sur une seule faille zéro day, mais sur pas moins de quatre ! Une fois dans le système, le but de Stuxnet était le programme SCADA (Supervisory Control and Data Acquisition) de Siemens installé et plus particulièrement la reprogrammation du contrôleur logique (PLC). Ceci exécuté, les attaquants avaient non seulement accès à des informations critiques sur l’entreprise, mais aussi le contrôle complet sur la production.
Repenser les pratiques pour améliorer la lutte
Pour combattre cette menace et éviter qu’elle ne trouve un écho qui pourrait être dévastateur dans des industries dites « sensibles » il est important de considérer comme urgente la sécurité des systèmes à régulation de processus. Ceci passe d’une part par la mise en place de programmes de mises à jour planifiées et/ou systématiques des systèmes industriels, mais aussi par des tests de vulnérabilité sur l’ensemble des processus mis en place afin de les sécuriser rapidement et de manière permanente. D’autre part, les employés doivent aussi prendre conscience qu’ils sont les cibles potentielles des cybercriminels, qu'ils soient impliqués ou non dans le processus de contrôle. Ceci signifie qu'ils doivent éviter de cliquer sur des liens dans les emails ou sur les réseaux sociaux, particulièrement quand ils sont au travail.
A propos d'Eddy Willems
Security Evangelist chez G Data Software est de nationalité belge. Dans le domaine de la sécurité depuis plus de 20 ans, il a collaboré avec des instituts influents, tels qu'EICAR, dont il est le cofondateur et le directeur de l'information et de la communication, ou différentes associations CERT.
Extraits de l'analyse d'Eddy Willems (analyse complète dans le fichier PDF joint)
Aurora : quand technicité et ingéniosité se rencontrent
En décembre 2009 et janvier 2010, les réseaux de plusieurs compagnies parmi les 100 premières mondiales ont été pénétrés par ce qui sera dénommé plus tard l’attaque Aurora. La victime la plus connue d’Aurora était Google en Chine mais plus de 30 autres grandes entreprises ont vu leur réseau pénétré grâce au niveau de sophistication élevé de cette attaque. Après sa découverte, Aurora a été décrit par des experts comme « le malware le plus sophistiqué jamais créé ». Si pour les entreprises attaquées (et leurs clients) la situation a été incommodante, les conséquences n’ont toutefois pas été dévastatrices. Le but était l’espionnage de la société mais aucun risque ne courait sur la population mondiale.
Stuxnet : les systèmes de production peuvent aussi être infectés
Un peu plus tard cette même année 2010, Stuxnet était l'autre grande attaque. Les concepteurs de Stuxnet ont de loin dépassé les concepteurs d’Aurora sur un aspect clé : à la différence d’Aurora, Stuxnet ne s'est pas fondé sur une seule faille zéro day, mais sur pas moins de quatre ! Une fois dans le système, le but de Stuxnet était le programme SCADA (Supervisory Control and Data Acquisition) de Siemens installé et plus particulièrement la reprogrammation du contrôleur logique (PLC). Ceci exécuté, les attaquants avaient non seulement accès à des informations critiques sur l’entreprise, mais aussi le contrôle complet sur la production.
Repenser les pratiques pour améliorer la lutte
Pour combattre cette menace et éviter qu’elle ne trouve un écho qui pourrait être dévastateur dans des industries dites « sensibles » il est important de considérer comme urgente la sécurité des systèmes à régulation de processus. Ceci passe d’une part par la mise en place de programmes de mises à jour planifiées et/ou systématiques des systèmes industriels, mais aussi par des tests de vulnérabilité sur l’ensemble des processus mis en place afin de les sécuriser rapidement et de manière permanente. D’autre part, les employés doivent aussi prendre conscience qu’ils sont les cibles potentielles des cybercriminels, qu'ils soient impliqués ou non dans le processus de contrôle. Ceci signifie qu'ils doivent éviter de cliquer sur des liens dans les emails ou sur les réseaux sociaux, particulièrement quand ils sont au travail.
A propos d'Eddy Willems
Security Evangelist chez G Data Software est de nationalité belge. Dans le domaine de la sécurité depuis plus de 20 ans, il a collaboré avec des instituts influents, tels qu'EICAR, dont il est le cofondateur et le directeur de l'information et de la communication, ou différentes associations CERT.