La découverte de nouveaux ransomwares, spécialement conçus pour attaquer les réseaux opérationnels, marque un tournant dans les cyberattaques industrielles. En visant directement l'industrie manufacturière et ses lignes de production, ces logiciels malveillants déplacent les frontières de la sécurité numérique des groupes industriels en les attaquant en plein cœur. Et si la déstabilisation des lignes de production était la nouvelle marotte des cyber-attaquants ?
La nouvelle est arrivée par un tweet. Le 6 janvier 2020, le chercheur Vitali Kremez, du groupe Malware Hunter Team annonçait la découverte de Snake (ou Ekans), un ransomware capable de neutraliser les réseaux industriels et de paralyser les lignes de production.
2020-01-06: 🆕🔒#Golang #Ransomware "#EKANS" aka "#SNAKE"🐍
🎯Targeted Ransomware|"We breached your corporate network..."
Str->'FileName'->'IV'->'ENCRYPTED_AES_Key'->'EKANS' Marker
Path:
👾C:/Users/WIN1/go/src/.../crypt.go
h/t @malwrhunterteam cc @demonslay335 @BleepinComputer pic.twitter.com/mnf4fhYlD4— Vitali Kremez (@VK_Intel) January 6, 2020
Une information qui a vite agité la communauté cyber. Pourtant Snake n’est pas tout à fait le premier ransomware à viser le réseau OT, rappelle le chercheur David Grout dans les colonnes de Industries Techno. En effet en 2019 déjà, le ransomware LockerGoga avait causé des dégâts importants notamment chez le producteur d’aluminium norvégien Norsk Hydro – mettant en péril leur activité opérationnelle, avec pour conséquences d’importantes pertes financières. Mais pourquoi parle-t-on autant de Snake alors ? Notamment parce que ce ransomware serait capable d’attaquer encore plus de services utilisés uniquement dans les réseaux industriels. Alors que le nombre de cyberattaques, et leur complexité, va croissant, doit-on s’attendre à ce que la production industrielle soit désormais une cible de choix pour les cyber-attaquants ? Après Industroyer et Stuxnet, le cas de Snake marque-t-il un nouveau tournant pour la cybersécurité des systèmes industriels ?
Manufacturing et contexte industriel
Le manufacturing est un secteur sensible, avec des spécificités qui sont autant de vulnérabilités potentielles. Le premier défi concerne la durée de vie des équipements qui sont conçus pour vivre en moyenne vingt ans. Sur la plupart des sites industriels, « on fait donc cohabiter des infrastructures qui sont plus ou moins anciennes, avec des architectures réseau et des systèmes d’exploitation plus ou moins récents, qui n’intègrent pas forcément des normes de sécurité avancées car les évolutions sont coûteuses », souligne Vincent Riondet, Responsable des équipes Projets et Services Cybersécurité de Schneider Electric France. C’est le cas par exemple avec les postes informatiques dédiés au contrôle commande des machines : ils opèrent souvent sur des OS Windows très anciens, et historiquement pas connectés aux réseaux Internet. « Les systèmes d’exploitation installés sur de nombreux systèmes de contrôle dans les usines sont potentiellement périmés, difficiles à échanger ou alors, leur configuration ultra personnalisée se révèle incompatible avec les offres de sécurité standard des équipes IT », complète le chercheur Nisarg Desai dans un article de blog.
On fait donc cohabiter des infrastructures qui sont plus ou moins anciennes, avec des architectures réseau et des systèmes d’exploitation plus ou moins récents, qui n’intègrent pas forcément des normes de sécurité avancées car les évolutions sont coûteuses
Vincent Riondet, Responsable des équipes Projets et Services Cybersécurité de Schneider Electric France
Autre défi : le manque d’homogénéité entre les fournisseurs d’équipements, de logiciels de contrôle et des composants. Tous ne répondent pas aux mêmes exigences, normes ou conditions de création, de contrôles et autres… Une seule faille ou une seule backdoor peut alors entraîner la chute de l’intégralité de la chaîne de production. Parce que ces chaînes de production sont souvent complexes et font appel à des acteurs qui ne communiquent pas entre eux, elles peuvent être particulièrement vulnérables à ces attaques externes. Et pour complexifier encore le tableau, certaines opérations de maintenance peuvent être exécutées par des intervenants extérieurs, qui ont souvent recours à des médias USB pour mettre à jour ou configurer des équipements. Là encore, ce type d’intervention est susceptible d’être un vecteur de cyberattaques car, dans la plupart des cas, les serveurs ne sont pas protégés.
Enfin, comme le reste du monde de l’industrie, la chaîne de production qui s’est longtemps considérée comme un système isolé l’est de moins en moins. Derrière le terme de convergence IT-OT, se cache la connectivité des réseaux OT et ainsi l’un des principaux canaux d’infection. Du fait de cette connectivité, la chaîne de production fait désormais face à de nouveaux risques cyber, déjà bien connus dans le monde de l’IT.
Des risques propres au manufacturing
De la supply chain aux réseaux, l’étendue de la menace cyber sur l’univers du manufacturing s’est ainsi considérablement élargie ces dernières années. Avec, en ligne de mire, des effets potentiellement dévastateurs. L’industriel danois Demant, qui fabrique notamment des appareils auditifs, a par exemple fait l’expérience d’un blocage de ses chaînes d’assemblage en septembre 2019. Coût estimé de l’impact du ransomware ? Plus de 95 millions de dollars. La plupart des pertes proviennent des contrats de vente perdus et de l’incapacité de la société à honorer ses commandes, a précisé l’entreprise.
On peut facilement imaginer qu’une attaque ciblée, sur des OS défaillants par exemple, permette de compromettre les contrôles-commandes de plusieurs entreprises de l’agro-alimentaire ou de la pharmacie, et conduisent à la fabrication de produits défectueux. Ce qui ferait courir un risque majeur pour ces industriels, tenus d’assurer une traçabilité complète de leurs produits dans le cadre du contrôle qualité. Les risques d’espionnage industriel via des attaques ciblées sont également importants. Et enfin, n’occultons pas le fait que certaines cyberattaques sur les lignes de production peuvent conduire d’une part à mettre en danger physique les opérateurs eux-mêmes, et d’autre part à provoquer de graves incidents environnementaux.
Pour comprendre l’intérêt des cyber-attaquants pour le manufacturing, il est obligatoire de mentionner le modèle économique de ces industriels. Car outre la promesse de retombées médiatiques importantes en cas de perturbations durables, c’est surtout l’appât du gain qui semble motiver les cyber-attaquants. En effet, des lignes de production à l’arrêt sont synonymes d’autant de pertes sèches pour les entreprises ; un élément qui peut rendre ces industriels plus prompts à payer les rançons. Sans assurance pour autant de récupérer quoi que ce soit.
Industrie 4.0, extension du domaine de l’attaque
Nous l’écrivions déjà en 2018. À l’heure de l’industrie du futur, le développement de l'internet industriel des objets (IIoT), de la numérisation des usines et des technologies d’intelligence artificielle rend les réseaux OT de plus en plus connectés et communicants, notamment vers les réseaux IT. Mais cette hyper-connexion les expose toujours plus aux menaces cyber. « D’autant que les réseaux OT n’ont souvent pas de barrière réseau ou de barrière endpoint », abonde Vincent Riondet. Les multiples composantes de l’OT sont donc autant de points d’entrée possibles, notamment parce que la convergence entre IT et OT est encore largement délicate – voire inopérante dans certains cas.
« Avec l’industrie 4.0, les points d’accès se sont multipliés, à la faveur d’une demande d’interconnexion qui a été exécutée sans réelle réflexion sur le security-by-design », enrichit Vincent Riondet. L’arrivée de l’IoT industriel, comme l’intégration de commandes automatiques ou l’arrivée de la réalité augmentée et virtuelle, a ouvert de nouvelles failles. En mai 2017, un autre acteur de la cybersécurité, en collaboration avec l’École polytechnique de Milan, démontrait qu’il était possible de prendre le contrôle total du robot, d’y installer un logiciel malveillant capable de le « reprogrammer ».
Assurer l’intégrité de la branche OT
Comment les entreprises du secteur font-elles face à ces nouvelles menaces, qui marquent un tournant dans le monde de la cybersécurité industrielle ? Pour le moment, les efforts en matière de cybersécurité du périmètre manufacturing sont pour le moins hétérogènes. « Le renforcement de la sécurité de la branche OT doit d’abord passer par une sécurisation accrue des OS des équipements réseaux », relève Vincent Riondet. Mais en parallèle, l’un des grands enjeux de la sécurité des infrastructures manufacturing concerne la maîtrise des communications réseau.
Chiffrer toutes les communications entre les machines est ainsi une étape supplémentaire vers plus de sécurité. « En complément d’une segmentation du réseau appropriée, il est possible d’agir sur la sécurisation des échanges, en garantissant la confidentialité et l’intégrité des données », rapporte quant à lui Vincent Seruch, ICS Security Team Leader d’Airbus CyberSecurity. « Il faut alors de cartographier l’ensemble des communications sur les réseaux OT puis de les chiffrer, grâce à des méthodes cryptographiques. Mais cela doit aussi se faire en prenant en compte les besoin d’inspection des échanges. » La télémaintenance est une autre opportunité ; effectuer les mises à jour à distance permet d’une part de se passer de médias USB potentiellement douteux et d’autre part de limiter les risques d’erreurs inhérents aux changements d’opérateurs trop fréquents. Résultat : une meilleure efficience des mises à jour, à condition de sécuriser également les accès à cette télémaintenance.
La crise sanitaire du Covid-19 pose aujourd’hui la question de la souveraineté industrielle et de la relocalisation en France de certaines usines dans des secteurs stratégiques. La mise en œuvre d’un tel plan pourrait alors servir de test grandeur nature, dans la mesure où cette « déglobalisation industrielle » s’accompagnerait d’une automatisation accrue. La branche OT ne s’en trouverait que plus exposée. Gageons que d’ici là, la cybersécurité industrielle sera, elle aussi, sur le devant de la scène.
