SCADA et Stuxnet ou les prémices d’une scadastrophe

Propagation de Stuxnet

Voici un thème dont j’aimerai beaucoup vous parler librement, mais voilà, ça ne va pas être possible. Sans pratiquer la langue de bois et en essayant de faire très court, je vais simplement ici vous faire part de mon sentiment sur une infection qui cible en ce moment l’Iran, l’Inde, le Pakistan et une poignée d’autres pays en Asie du sud est, mais aussi dans une moindre mesure, les continents européens et américains (voir la carte de la propagation).

SCADA, ou Supervisory Control And Data Acquisition, est un système de surveillance et d’acquisition de données qui existe maintenant depuis plusieurs décennies. SCADA opère le monitoring d’infrastructures, depuis la gestion de l’énergie dans un immeuble jusqu’à la température du noyau d’un réacteur nucléaire en passant par les ponts, les tunnels, les gazoducs, les oléoducs … Ça ne vous rappelle rien ? Moi comme ça, je pense un peu au scénario de Die Hard 4.

En clair, si un pays cherchait à paralyser un autre pays, en vue d’une attaque, SCADA serait une cible de choix. Quand j’ai commencé à m’intéresser au délit de négligence caractérisée, je me suis demandé ce que SCADA était devenu depuis l’arrivée du web… et bien c’est une … scadastrophe. On trouve certains systèmes accessibles depuis le Net, dont certains sans authentification. Ils ne sont certes pas simples à trouver, ce ne sont certainement pas les plus sensibles… mais on en trouve, et l’apparition des iPhones et autres blackberry y est surement pour quelque chose. On trouve même des clients lourds SCADA sur Megaupload pour tout vous dire… Certains chefs d’entreprises qui déploient ce genre de systèmes de contrôle aiment bien, en mobilité, garder un oeil sur leur production. Je n’irai pas plus loin pour l’instant sur le sujet et je vous donne, peut être, rendez-vous l’été prochain, pour un talk sur ce thème.

Depuis quelques mois maintenant, une infection virale, Stuxnet, cible des équipements SCADA du constructeur SIEMENS. Sa propagation, particulièrement ciblée sur, semble t-il, les infrastructures iraniennes, a de quoi soulever quelques interrogations. Les autorités iraniennes affirment que le worm n’a pour l’instant pas fait de dégâts, mais ne prépare t-il pas une attaque qui risque d’en faire bien plus (embarque t-il une bombe logique ?). Ce sont plus 30 000 machines en Iran qui en sont actuellement victimes.

Autre interrogation légitime, qui a pu mettre en place une stratégie de propagation aussi ciblée si ce n’est un État ? Certains n’hésitent pas à affirmer qu’il s’agit d’une attaque bien dirigée contre les infrastructures nucléaires iraniennes, et très franchement, je doute qu’elle soit l’oeuvre de militants Greenpeace. S’il est encore un peu tôt pour parler d’une cyber guerre, vu d’ici, ça y ressemble quand même drôlement. Israël et la Russie sont même pointés du doigt, mais à ce jour, rien ne nous autorise à l’affirmer avec certitude. Quoi qu’il en soit, le spectre d’une agence gouvernementale plane sur Stuxnet et il semble que des moyens considérables aient été déployés pour rendre cette infection possible (des moyens humains pour toucher les infrastructures sensibles en leur coeur et des moyens techniques pour coder ce worm).

Techniquement, Stuxnet exploiterait non pas un mais 4 0day (une véritable débauche de moyens !) pour s’engouffrer dans la faille LNK découverte en juin dernier et présente dans pratiquement toutes toutes les versions de Windows (jusqu’à Seven… « c’était mon idée »). Il embarquerait un rootkit et un chiffrement très complexe à casser pour cibler le Simatic WinCC de Siemens, ses systèmes SCADA et tendrait à tenter d’infecter la base de données à laquelle ces solutions se connectent. L’exécution du payload rendue possible par l’exploitation de la faille LNK permet, depuis une simple clef USB liant un appel de lien .ink, de compromettre le système en exécutant du code malicieux… c’est assez imparable et particulièrement élaboré.

Stuxnet inquiète et à juste titre, sa persistance n’est pas faite pour rassurer et on se demande qui pourrait déployer autant de moyens pour compromettre un système aussi sensible, et surtout, dans quel but.

En tout, cas… moi je dis ça mais je dis rien hein… j’en connais qui devraient sérieusement se pencher sur cette question au lieu de faire la chasse aux téléchargeurs de mp3. La compromission de SCADA, c’est tout sauf de la science fiction, et c’est tout sauf rigolo… des vies sont en jeu, et là je ne parle pas de pirates qui tuent les artistes en provocant des AVC par DDoS… mais de vrais méchants qui pourraient tuer de vrais gens.

29 réponses sur “SCADA et Stuxnet ou les prémices d’une scadastrophe”

  1. Début du 5ème § : « Certains n’hésites pas » –> « Certains n’hésitent pas »

    Heureux d’avoir pu contribuer à ton blog ! 😉

  2. Il y a une petite faute de frappe au 5ème § : « Quai qu’il en soi » => « Quoi qu’il en soi ».

    Sinon, c’est franchement pas rassurant tout ça…

    1. LOL !

      « Il y a une petite faute de frappe au 5ème § : « Quai qu’il en soi » => « Quoi qu’il en soi »

      C’est surtout « Quoi qu’il en soit » tant qu’à faire si on parle d’orthographe 😉

  3. Sécurité, marketing, rien-à-foutre, …
    Au États-Unis d’Amér. une base avait comme code d’activation de l’arme nucléaire 000000

    1. Et bien dans un pays bien plus proche que les USA, il arrive parfois qu’un « 8888 » se retrouve comme code de déchiffrage pour certains documents… Notament classifiés -_-

      A bon entendeur (oui oui l’ACSSI je vous parle …)

  4. non mais arrêtez quoi !

    Vous êtes complètement à côté de la plaque :s c’est juste les méchants pirates qui installent des firewall OpenOffice pour télécharger plus de musiques et faire un génocide d’artistes !!!! 😮

    Plus sérieusement c’est assez grave quand même quand on voit tout ce qui se passe au niveau international avec le couple Iran / Irak et si ça reste à disposition du « premier venu » (j’entend par là avec une personne qui a quand même le minimum de connaissances requises) ça peut faire mal. Même si regarde Die Hard 4 peut se faire sans cervelle ça donne à réfléchir sur les éventuelles conséquences si un réseau comme ça était touché …

    Mais la chasse aux pirates téléchargeurs de musiques est plus important !

  5. Ca me fait penser à un bouquin que je viens de lire, « Babel minute zero ».. assez bien foutu au niveau géopolitique sur fond de guerre de l’information.. à découvrir !!

  6. Si ça pouvait être le moteur d’un changement, que Windows soit de moins en moins utilisé dans le secteur de l’industrie… ça, ça serait positif.

  7. Tiens, ils en reparle encore sur france inter (à l’instant 08h18), en relatant le scénario qui fait peur :
    le malware est fait pour tout péter en iran, notamment la centrale nucléaire.
    Et ça ne peut pas être un gus dans un garage … Qui donc ?

    Par contre ils parlent d’arme non violente, et là, je ne suis pas d’accord : je ne pense pas que l’arrêt du refroidissement d’un noyau nucléaire soit « non violent ».

    L’action l’est, pas la conséquence.

    1. Mouais, les journalistes… les mêmes qui parlent de piratage, alors qu’il s’agit de désimlockage ? Même en n’ayant pas de mobile, je sais que les opérateurs « simlocke » leurs clients…

  8. Détails :

    Le stux agit en 2 étapes : il ne « prend » le contrôle du SCADA, il va se loger dans le SCADA afin de pouvoir modifier le code logiciel des automates programmables qui sont eux à même de contrôler le process industriel (les PLC (automates) dialoguent avec le SCADA au travers de bus , Ethernet ou Profibus par ex). la finalité du WinCC n’est pas normalement de modifier le programme PLC mais la possibilité technique existe car les couches de protocole S7 Y sont emparquées. De plus, on ne modifie pas inpunément du code PLC (des modules de régulation, des surveillances, du calcul) car pas un process n’a le même code encapsuleur de ces objets. La faire sans connaissance particulière du process (1 vanne ? 2 vannes ? proportionnelle ? tout ou rien, etc) risque au pire de passer l’automate en STOP et les process sont quasimment tous concus pour se comporter « proprement » en mode dégradé contrôlé, automate en vrac. par des automatismes dits ‘hard » ne faisant appel a aucune fonction logicielle. Donc, en gros, et si on en croit les articles que j’ai pu éplucher à ce sujet, les codes PLC ciblés ne l’étaient pas au hasard (a croire que l’auteur avait les schémas de l’usine …)
    Quoi qu’il en soit, pour ma part, en 30 ans d’expérience dans ce domaine, c’est la première fois que je vois du code attaquer « intelligemment » un automate. Chapeau bas (et froid dans le dos…)

  9. Salut,

    Juste pour te signaler que ton blog et plus précisément cet article est brièvement passé sur LCP dans l’émisson « au web citoyens » (à 12h47 aujourd’hui…)

    Bref, j’étais content de te voir à la télé 🙂

    Bonne continuation.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.