Après une édition 2012 traitant les problématiques propres au Cloud, la conférence C&sar a proposé cette année différents talks traitants de la Cybersécurité des systèmes numériques industriels. Organisé par la DGA Maîtrise de l’Information, la conférence C&sar s’est déroulée à Rennes (France) le 19-20-21 novembre. SCRT a eu le plaisir d’assister à ces différents talks.
Partie 1 : Problématiques et architectures en jeu
Problématique de sécurité sur un navire de guerre / Patrick Hébrard-DCNS / Philippe Gaucher-EMM
Patrick Hébrard présente les défis liés à la cybersécurité d’un navire de guerre. Pour avoir un ordre d’idée ce type de navire est composé d’environ 400 automates assurant les différentes fonctionnalités du navire (propulsion, guidage, localisation …). Contrairement à ce que l’on peut penser, les équipements utilisés sont principalement issus du monde civile. En effet, les systèmes SCADA (supervision-gestion des automates) tournent sur des OS standards type Windows et Linux. Comme dans le monde de l’industrie, ces systèmes sont donc vulnérables à de nombreuses attaques.
D’autant plus que dans ce type d’environnement la gestion du patch management est particulièrement compliquée et coûteuse. Certaines machines clés du navire utilisent encore des kernels Windows NT4. Ces systèmes sont bien entendu isolés du monde extérieur, l’attaque vient donc toujours de l’intérieur du navire (surtout par infection via clé USB malicieuse).
Pour lutter contre cela, différents points de sécurité ont été appliqués : des mesures non techniques (sensibilisation, caméra de surveillance …) et des mesures techniques (configuration spécifiques des OS, meilleur cloisonnement réseau …). A noter également qu’une protection hardware a été rajoutée sur les clés USB (recâblage du connecteur). Cela évite de plugger n’importe quel clé USB sur n’importe quel poste…
Sécurité des systèmes numériques industriels : spécificités et défis associés / Fabrice TEA et Jea-Marc BRUN – Schneider
En s’appuyant sur la norme ISA95, les speakers ont dans un premier temps défini les deux principales entités des systèmes numériques industriels. La partie SCADA (Supervisory Control and Data Acquisition) permet l’affichage à l’aide de représentation graphique, gère les alarmes et assure la conduite de procédé. En dessous les PLC (Programmable Logic Controller) effectuent le contrôle du procédé.
Les speakers ont ensuite expliqué les défis de sécurité propres à ces systèmes:
- Cycle de vie important par rapport (15-20 ans) à l’IT classique. Difficulté de changer modifier, les automates compte tenu de la haute disponibilité des équipements
- Protocoles spécifiques type ModBus de conception ancienne donc non développés dans un soucis de sécurité. La rétrocompatibilité entre les anciennes versions et les nouvelles versions des protocoles doivent être assurés. Les évolutions de sécurité sur ces protocoles sont donc quasi-inexistantes.
- Faible puissance de calcul. Cela ne permet pas la mise en place d’antivirus ou d’IDS au niveau de l’automate. il faut en plus garder à l’esprit les problématiques de temps réel de certaines installations.
Encore plus appliqué que dans le monde de l’IT, la devise “Tant que ça marche, je ne touche pas” est encore plus vraie ici. Cela est principalement du à la criticité des installations et la peur d’altérer la fonctionnalité du système en apportant des patchs de sécurité.
Retour d’expérience RTE suite à Stuxnet / Patrick ASSAILLY – RTE
Après les attaques de Stuxnet en 2010 sur les automates SIEMENS, RTE (gestionnaire du réseau d’électricité française) a lancé une campagne nationale de recherche virale sur ces postes électriques dotés d’un contrôle commande numérique. Stuxnet ne s’y trouvait pas mais 20% des PCs ont été infectés par d’autres virus. Selon le speaker, ces virus étaient inoffensifs. Je suis un plus peu septique sur ce point :). Cela met en lumière le fait que ces machines sont utilisées pour faire beaucoup de d’autres choses (consultation mail, jeux …) que celles initialement prévues (contrôle automates).
Après ces résultats, RTE a entrepris une analyse de risque globale sur ces installations. De nombreuses mesures de sécurité ont découlés de ces résultats (centre de supervision de la sécurité, antivirus whitelist, veille sécurité sur les progiciels utilisés et patch management associé).
Partie 2 : Techniques d’attaque et de protections des systèmes industriels
Who’s really attacking your ICS equipment ? David Sancho – Trend Micro
David Sancho a commencé sa présentation en montrant des exemples de PLC directement connectés sur le net. Pour cela, il a utilisé les classiques GHDB (Google Hacking DataBase) et le moteur de recherche Shodan. Pendant sa recherche, il a trouvé un automate vulnérable à des DoS et a également accédé à l’interface de contrôle d’un système de gestion de pression grâce à un default password :).
Le speaker a mis en place de nombreux honeypot de systèmes industriels (notamment avec PLC Siemens et des raspberry PI pour simuler des capteurs). Sans surprise, il a pu observer de nombreuses attaques émanant de Chine et de Russie. Sous son identité de propriétaire du système industriel fictif, il a même reçu des mails avec une pièce jointe exploitant une ancienne faille dans la suite Microsoft Office. En analysant la payload délivrée par l’exploit et en s’appuyant également sur le rapport de Mandiant, il conclut que cette attaque a été tenté par le groupe chinois APT1.
Des bus de terrain à l’Industrial Ethernet/IP / David Boucart – DGA MI
Nous plongeons maintenant dans les différents protocoles de communication utilisés par les systèmes industriels. Le speaker insiste sur le fait qu’il existe énormément de bus de terrain différents (CAN,MODBus, PROFIBUS …).
La migration de ces réseaux vers l’Industrial Ethernet est relativement complexe. Différentes approches ont été retenues par les acteurs du domaine pour adapter leurs protocoles : encapsulation (EtherCAT, AFDX utilisé par Airbus), gestion de la méthode d’accès et adressage (EtherNet/IP) et passerelle multi-protocole (externe ou interne à l’automate). A noter que l’Industrial Ethernet apporte différentes améliorations d’un point de vue de la sécurité (cloisonnement par VLAN, filtrage possible via firewall…) mais son utilisation augmente aussi la surface d’attaque (ARPSpoofing …).
Détection d’intrusion pour les systèmes industriels / Thomas Demongeot – DGA-MI / Jean-Marc Lebrun et Laurent Platel
Un focus sur les IDS pour systèmes industriels a ensuite été réalisé. Une approche théorique a été faite par Thomas Demongeot. Ce dernier a mis en avant la nécessité d’utiliser un IDS de type comportemental pour surveiller ce type de réseau. En effet, les PLC étant gérés par des machines d’état relativement simples (par rapport aux ordinateurs), il est possible de définir un comportement sain comme référentiel pour l’IDS. Pour cela, différentes méthodes existent : analyse orientée trafic (notamment analyse N-Gram) et orientée PLC (définition des états dangereux d’un PLC).
Les deux conférenciers de Schneider ont ensuite apporté une approche pratique. Pour cela ils ont notamment pu créer des règles SNORT afin de détecter des comportements dangereux (type envoi d’une commande d’arrêt, changement d’une valeur seuil, changement Firmware) et remonter ces alertes dans un SIEM. Dans tous les cas la définition de ce modèle passe par une importante connaissance de l’automate. Il est donc très important que les experts en détection et les automaticiens travaillent ensembles. Aujourd’hui il n’existe pas d’IDS propre à ce type de réseau. Concernant les logs, les problématiques restent les mêmes qu’en IT : corrélation des logs, ressources nécessaires…
Partie 3 : Normes et référentiels
Groupe de travail ANSSI sur la sécurité des systèmes numériques industriels / Stéphane Meynet et Mathieu Feuillet
Dans le but de garder le contrôle sur les équipements industriels français, l’ANSSI projette de mettre en place une labellisation des nouveaux équipements industriels d’ici deux ans.
Le groupe de travail de l’ANSSI a établit une méthode de classification suivant la criticité de l’installation. Il existe trois niveaux de criticité (1 – peu critique / 3 – critique). Un incident sur des installations de classe 3 représente un danger pour la nation (type centrale nucléaire). Deux principaux facteurs sont utilisés pour savoir dans quelle classe se trouve une installation, l’impact (vie humaine, environnement) et la vraisemblance d’une attaque (exposition, intervenant).
L’homologation sera uniquement obligatoire pour la mise en marche d’un système de classe 3. Pour obtenir l’homologation, différentes mesures devront être mises en place : organisationnelles (habilitation, chaîne de responsabilité, audit …) et techniques (accès internet, télégestion, flux entre installation). A noter que les mesures à appliquer sont différentes selon la classe. Par exemple pour un système de classe 3, l’accès à internet et la télégestion sont prohibés.
Certifications de sécurité : Panorama, intérêt et limites pour les systèmes industriels/ Frédéric Guyomard – EDF
Le speaker nous propose un panorama des différentes certifications de sécurité et leurs applicabilité dans le domaine des systèmes industriels. Certaines constituent une bonne base mais ne sont pas forcément très complètes pour les systèmes industriels (ISO27001, Critères Communs), d’autres sont privées (ACHILLES, ISASECURE). Aucune certification ne se dégage vraiment. En conclusion, le speaker insiste sur le fait que ces certifications apportent des garanties mais qu’il ne faut surtout pas avoir une confiance aveugle. Elles ne représentent que l’état du système à l’instant t…
Partie 4 : Après l’attaque…
Cybersécurité : lorsque le temps vient de faire face… / Sebastien Bombal – Areva
Sebastian Bombal nous livre ici un retour d’expérience particulièrement complet sur la mise en place d’une cyberdéfense sérieuse et la gestion d’incident.
L’évolution des systèmes vers une architecture distribuée (cloud, partenaire) et le fait que les systèmes soient encore trop discrétionnaires (trop de confiance vis-à-vis de l’utilisateur) , amène une réelle nécessité de faire évoluer sa défense numérique. Un travail en amont est nécessaire :
- avoir un bon sponsorship, ne pas s’arrêter à l’organisation de l’IT mais bien prendre en compte tout le périmètre
- connaître son SI via des pentests, des audits de configuration…
- meilleure gestion des droits et notamment prioriser celle des comptes privilégiés.
- détecter et pour cela définir les évènements redoutés
La communication avec le top management n’est pas forcement facile notamment concernant le profil des attaquants. Le speaker nous conseille de raisonner comme référentiel le temps. Quel temps va mettre l’attaquant pour prendre le contrôle de mon système et quel temps vais je mettre pour le détecter? Le SI peut être vu comme une fonction f(t) non linéaire avec un coefficient de résistance qui symbolise la défense mise en place.
Si un incident arrive, il faudra alors mettre en place un plan de gestion de crise (audit pour trouver vulnérabilités, investigation live et post-mortem, gérer les parties prenantes), réussir à coordonner les ressources humaines et surtout tracer ce que vous faites (afin de répondre aux nombreuses questions du management, des partenaires).
Le speaker conclut avec différents facteurs clés permettant le succès comme par exemple garder un cycle court de décision ou encore garder l’opération confidentielle vis-à-vis de l’attaquant.
Quel rôle et quelle possibilité pour les assurances / G. Ducrot – Axa / S. Héon – Cassidian / L. Vignancour Marsh
Les conférenciers reviennent sur l’incident qui a eu lieu au tunnel Haifa en Israel le 8 et 9 septembre. Le tunnel desserre notamment un important centre commercial et un centre d’affaire où l’on trouve par exemple IBM,Intel. Suite à une infection par un malware, le système de caméra surveillance du tunnel a cessé de fonctionner. Pour des raisons encore inexpliquées (l’exploitant du tunnel communiquant très peu sur le sujet), cela a crée des dysfonctionnements au niveau des barrières d’accès du tunnel pendant 8h le 9 septembre. D’après une estimation de Mme Ducrot, les dégâts directs s’élèvent à 1,5 millions d’euros et le coût indirect (perte pour les entreprises tierces, les commerçants) à 55 millions. Le flou reste total sur qui est responsable et doit payer la seconde somme. Pour conclure, le risque des dégâts liés à Cybersécurité commence à être pris en compte par les assurances (étude au cas par cas notamment avec les diagrammes ISORISK) mais reste marginal et difficile à estimer.
Partie 5 : Perspectives et recherche
Surveillance des infrastructures de comptage intelligent avec Amilyzer / Robin Berthier – University of Illinois
AMI (Advanced Metering Infrastrucute) permet aux fournisseurs d’énergies, via un serveur de contrôle, de communiquer à distance avec des capteurs de consommation présents chez les particuliers ou dans les entreprises. Comme en témoigne le talk de 2009 à la BlackHat de Mike Davis, ces systèmes sont vulnérables. Ce dernier à même développé un worm sur ce type de réseau.
En partenariat avec de nombreuses entreprises, Robin Berthier a développé l’IDS Amilyzer afin de détecter ce type de menaces. L’IDS comportemental analyse le protocole ANSI C12.22 utilisé par ces capteurs et permet de détecter les requêtes illégitimes (adresse source, communication entre capteurs, fréquence des requêtes ). Les capteurs de l’IDS ont été implémentés dans une version hardware sous BeaggleBoard. Une interface de visualisation est également développée permettant de surveiller les différents échanges entre le serveur de contrôle et les capteurs. Une version de l’IDS est en cours de tests sur un vrai réseau et ce projet semble plus que prometteur.
Simulation et sécurité des systèmes industriels / Guillaume Prigent – Diateam
Guillaume Prigent finit en beauté ces C&sar avec la présentation d’une plate-forme de simulation HyneSim. Particulièrement intéressante, elle permet de créer à la volé des machines virtuelles et de les câbler afin de créer la topologie souhaitée. Hynesim est compatible différents service de virtualisation comme VMWAre et VirtulaBox.
La partie hybride permet de connecter plusieurs de vrais automates dessus (en utilisant un adaptateur supplémentaire pour les IO de l’automate). Un scénario d’attaque a ensuite été fait un envoyant des commandes dangereuses à l’automate. Un module metasploit permet d’accélérer l’attaque “auxiliary/admin/scada/modicon_command” en envyant des commandes à un automate Schneider.
L’édition 2013 de C&sar fut une réussite (participation et qualité des interventions). Mon sentiment aujourd’hui est que l’on se trouve à un tournant dans la sécurité des systèmes numériques industriels. C’est un peu à l’image de ce que l’on avait eu avec Windows à l’époque de CodeRed (2001) ou de nombreuses personnes se plaignaient (à raison) de la moindre sécurité des kernels Windows. On connaît la suite et les efforts fait par Microsoft dans ce domaine. Même si le domaine est très différent et malgré la forte inertie de ces systèmes, les fournisseurs de PLC semblent également vouloir réagir aujourd’hui.