En 2010, le monde découvrait Stuxnet. Un ver qui frappait alors les automates en charge des centrifugeuses d’une usine iranienne d'enrichissement d'uranium et qui mettait le doigt sur la vulnérabilité des environnements industriels. Depuis cet épisode sorti d’une petite clé USB infectée, le risque cyber s’est alors élargi à l’univers industriel dans son ensemble. Et plus de dix ans après, les infrastructures de JBS Foods (agroalimentaire) et de Colonial Pipeline (énergie) étaient victimes de cyberattaques et allaient voir leurs lignes de production impactées pendant des semaines.
Malgré les années, les modes opératoires des cyber-attaquants ont évolué, mais le système de contrôle industriel des usines reste une cible privilégiée. Dans cet article, décryptons l’impact du ver Stuxnet en 2010. Quel héritage cette attaque a-t-elle laissé aux cyber-criminels ? Qu’en ont appris les industriels ? Éléments de réponse et regards croisés.
Stuxnet, le cauchemar des environnements industriels
Mais alors, c’est quoi Stuxnet ? En juin 2010, le ver Stuxnet a été détecté sur une machine d’un employé de la centrale nucléaire de Bouchehr, en Iran. L’objectif de ce ver était de reprogrammer le fonctionnement des automates industriels de la marque Siemens, pour altérer le bon fonctionnement des centrifugeuses et ainsi stopper le programme d’enrichissement nucléaire iranien en cours de développement.
À l’origine de l’infection de 30 000 actifs informatiques à travers le pays, le ver informatique sera ensuite détecté en Allemagne, en France, en Inde et en Indonésie, augmentant le nombre d’actifs compromis à 45 000. Mais de par sa conception, Stuxnet aurait dû être un malware indétectable. Et pour cause, ce dernier avait la faculté d’analyser les communications envoyées aux automates et de s’installer lui-même sur un hôte au travers d’un déplacement latéral. Pour ce faire, les cyber-attaquants ont analysé le fonctionnement des protocoles de communication OT et découvert des faiblesses technologiques liées à l’authentification. « Pour leur attaque, les créateurs de Stuxnet ont usé de l’absence d’authentification et de chiffrement du protocole S7 de Siemens, ainsi que l'absence d'un contrôle anti-replay, détaille Marco Genovese, Ingénieur avant-vente et expert des milieux industriels chez Stormshield. Cette faiblesse a permis de prendre conscience que ces protocoles OT auraient dû embarquer une couche de sécurité. Ce besoin de sécurisation supplémentaire sera implémenté plus tard dans la seconde version du protocole appelée S7 Plus. Malheureusement, encore aujourd’hui, de nombreuses entreprises industrielles utilisent ce protocole dans sa version de 2010. » Basée sur l’utilisation d’une succession de failles Zero-day sur l’OS Windows et en ciblant le système de commande des procédés industriels (SCADA), cette cyberattaque a été pour beaucoup la première attaque ciblée ayant permis d'altérer le fonctionnement de machines industrielles au cœur d’un environnement hautement sécurisé. La compromission d’un tel système de commande industriel non connecté à internet semblait à cette période être une mission extrêmement complexe, puisqu’en 2010, les cyberattaques ciblaient principalement des environnements IT. Stuxnet est alors la première attaque connue ayant ciblé des environnements OT, apportant au passage la prise de conscience que l’industrie pouvait maintenant être elle-même la victime. Avant cet épisode, la complexité de l’environnement industriel et la difficulté de mise en œuvre laissaient à penser qu’attaquer ce type de cible ne représentait pas un investissement intéressant.
Et pour répondre à une telle complexité, le développement de ce malware a demandé des moyens financiers et humains significatifs afin de comprendre le fonctionnement du programme d’enrichissement nucléaire iranien et des infrastructures technologiques de Siemens. Tout ce travail a permis de développer couche après couche des points de compromission dans le but d’atteindre en bout de chaîne l’automate S7-300, en charge des variateurs de vitesse des centrifugeuses. Pour Ilias Sidqui, consultant senior chez Wavestone, la complexité de cette attaque a rapidement orienté son attribution à un acteur étatique : « Pour pouvoir développer ce malware, il a fallu construire une maquette à l’identique en faisant l’acquisition de matériels industriels très coûteux, ce qui impliquait une connaissance des versions des machines utilisées en Iran. La complexité de l’ensemble de ces paramètres a donc rapidement démontré que seuls un ou plusieurs États étaient en capacité de mettre en place de tels moyens. » Combinaison de plusieurs attaques Zero-day, compromission d’un système d’information à l’aide d’une clé USB, déplacement latéral, usurpation d’accès administrateur, capacité de reprogrammation de l’automate… Sans le savoir, ce ver posait les bases d’une nouvelle complexité en cyber-criminalité.
La complexité de l’ensemble de ces paramètres a donc rapidement démontré que seuls un ou plusieurs États étaient en capacité de mettre en place de tels moyens.
Ilias Sidqui, Consultant Senior Wavestone
En remplissant son objectif principal, Stuxnet a marqué l’histoire géopolitique. « Il y a clairement eu un avant et un après Stuxnet, et les alliés de l’OTAN ne s’y sont pas trompés non plus en reconnaissant en juillet 2016, au sommet de Varsovie, le cyberespace comme domaine d’opérations militaires à part entière au même titre que la terre, la mer ou le ciel », précise Fabien Miquet, Officier de Sécurité Produits & Solutions chez Siemens. Mais ce ver a également marqué l’histoire de la cybersécurité, du fait de ses héritages technologiques et stratégiques, réutilisés par la suite par les principaux groupes de cyber-attaquants pour les décennies à venir.
Les multiples héritages du ver Stuxnet
De la démonstration de la faisabilité d’une telle attaque au caractère innovant du mode opératoire, les cyber-attaquants post-Stuxnet auront forcément été influencés par cette attaque. Douze années après sa découverte, la technicité et la difficulté de mise en œuvre en font encore aujourd’hui un cas d’école. Premier malware d’une famille qui ne cesse de grandir, il restera à jamais le premier ver dédié à la compromission de systèmes de contrôles industriels.
Et, dans cette démonstration de pénétration et de compromission d’un environnement hautement sécurisé, Stuxnet lancera des vocations et sera copié quelques mois plus tard. Si les techniques et vecteurs d’attaques diffèrent, l’objectif restera le même dans plusieurs cyberattaques qui suivront à travers le monde : cibler les automates industriels. De la Russie à l'Iran, ces malwares seront catégorisés dans une famille à part, dite « Stuxnet-like ». Dès l’année 2012, les sociétés Saudi Aramco et RasGas sont victimes d’une cyberattaque attribuée à l'État Iranien. L’innovation par rapport à Stuxnet tiendra à l’utilisation d’un ransomware, en l’occurrence Shamoon, pour paralyser l’activité de ces sociétés industrielles. En 2013, c’est le système de contrôle des vannes de décharges du barrage Bowman aux États-Unis qui est compromis. Selon une investigation du Wall Street journal, cette attaque serait une réponse des autorités iraniennes à Stuxnet. En 2015, les fourneaux d’une aciérie en Allemagne sont à leur tour victimes d’une cyberattaque. Définis par le renseignement allemand comme une attaque de type « Stuxnet-like », les détails et incidences de l’attaque ne seront cependant pas divulgués. À la même période, l’Ukraine est frappée à son tour par des malwares visant cette fois les installations électriques du pays avec les malwares « Black Energy » et « CrashOverride » en 2015, puis « Triton » en 2017. Des attaques attribuées à des actions de groupes de cyber-criminels russes et qui illustraient surtout l’évolution de la menace : « là où l’attaque de Black Energy démontrait la possibilité de mettre à mal une centrale électrique sans connaissance particulière des messages industriels, celle de Triton mettait en lumière la vulnérabilité du système de protection du réseau OT lui-même », détaille Marco Genovese.
#ALire Excellent #blogpost sur les attaques cyber impactant l'industriel, par les autorités UK 🇬🇧 @NCSC ⛓ https://t.co/PSViOJlBrX
➡️ Distinction entre attaques directes #OT (Stuxnet, Havex, Industroyer, Triton..) et attaques IT avec impact OT (Ekans, Lockergoga, BlackEnergy3..) pic.twitter.com/iM8isCCrKy
— Matthieu Garin (@matthieugarin) January 3, 2022
En parallèle des cyberattaques, le mode opératoire de Stuxnet a également influencé les chercheurs en cybersécurité. En 2015, des chercheurs allemands ont créé un autre ver informatique, baptisé PLC Blaster, capable de cibler la dernière génération d’automates Siemens de la gamme S7 en reprenant une partie du mode opératoire de Stuxnet. Et là où Stuxnet avait besoin d’une machine hôte connectée au réseau industriel, le malware PLC Blaster a lui la capacité d’infecter directement les automates entre eux depuis le protocole TCP/IP. Présentée durant l’édition de la conférence Black Hat USA, cette preuve de concept a démontré la vulnérabilité des environnements industriels et la simplicité de ce ver à se répandre d’un équipement à un autre.
L’attaque Stuxnet pourrait-elle encore faire des victimes ?
Une attaque Stuxnet est-elle envisageable aujourd'hui ? Une question pertinente à laquelle répond Ilias Sidqui sans détour « un scénario à la Stuxnet est toujours possible en 2022. Car le principe reste le même ; il a toujours existé, il existe et il existera toujours des failles Zero-days permettant aux cyber-criminels d’avoir un avantage offensif. » Une attaque toujours possible donc, mais plus forcément contre l’industrie nucléaire, précise Marco Genovese : « il sera certainement plus difficile de faire une attaque comparable à Stuxnet dans une centrale nucléaire de nos jours, mais les dernières actions menées en Ukraine démontrent qu’il est désormais possible d’impacter des réseaux d’énergie physiques (eau, gaz, électricité) avec une cyberattaque. »
Il est important également de noter que les dernières cyberattaques significatives n’ont pas utilisé de modes opératoires très avancés. Les cyberattaques contre Colonial Pipeline et JBS Foods s’apparentent d’ailleurs à des actes opportunistes plutôt qu'à des attaques préméditées comme avec le ver Stuxnet en 2010. Avec l’utilisation d’un mot de passe ayant fuité sur le darkweb pour Colonial Pipeline et d’une vulnérabilité connue dans un outil de connexion à distance pour JBS Foods, la difficulté de pénétration et de mise en œuvre était bien moins complexe qu’elle ne l’était pour Stuxnet. Car, de fait, la surface d’attaque des entreprises industrielles augmente. Cette tendance s’explique depuis quelques années par l’adoption d’une convergence IT/OT dans les systèmes d’information. Une aubaine pour les cyber-criminels. « De nos jours les environnements IT, de bureautique classique sont interconnectés avec les environnements industriels OT, explique Ilias Sidqui. Une passerelle qui sert aussi aux groupes de cyber-criminels ; il n’est donc plus nécessaire de faire des développements spécifiques ou de rechercher des failles Zero-days. C’est pour cela que l’on observe de plus en plus d’attaques par ransomware ciblant des environnements industriels. » « La numérisation accélérée, finalement, engendre des opportunités pour tous : vous, moi, nos clients… mais aussi pour les attaquants sur nos systèmes toujours plus connectés, complète Fabien Miquet. Loin d’être une fatalité, il faut juste en être conscient et nous avons un devoir d’alerte en quelques sortes : pas de numérisation sans cybersécurité ! »
Épisode #282 Notre saga de l'été, épisode 4 : Attaques sur les systèmes industriels.https://t.co/3BbJjYVS6P
— NoLimitSecu (@nolimitsecu) August 17, 2020
Mais alors, quelle maturité du secteur industriel face à cette menace ? Un chiffre de Gartner, qui expliquait que 60% des attaques réussies en 2020 reposaient sur l’exploitation de vulnérabilités connues, mais non corrigées, donne un premier élément de réponse... Dans notre baromètre 2021 dédié à la cybersécurité dans les réseaux opérationnels, 51% des répondants déclaraient avoir subi au moins une cyberattaque dans leur réseau opérationnel. Et 27% avaient déjà subi un arrêt ou une perturbation de la production. Pourtant, les pistes de solutions de protection sont nombreuses. Détection de vulnérabilités, patch management, segmentation réseau, formation… les solutions de cybersécurité semblent se heurter à un défi du déploiement en milieu industriel. Comme le confirme Fabien Miquet : « C’est en effet un véritable défi de sécuriser une usine dont le but ultime n’est pas de faire évoluer ses technologies mais de produire de manière stable et durable. Et qu’importe si ces technologies sont ‘insecure by design’ ; le fait qu’elles fonctionnent depuis trente ou quarante ans suffit à beaucoup d’industriels encore aujourd’hui, même si elles n’ont pas été pensées pour implémenter de la cybersécurité. Les mentalités n’évoluent définitivement pas toutes à la même vitesse, cela dépend généralement de la fréquence avec laquelle se produisent les cyberattaques… En réaction à ces événements, Siemens a implémenté de nouveaux mécanismes de sécurité dans ses machines. Et pour cela, nous avons importé des bonnes pratiques de l’IT dans le monde de l’OT, par exemple à l’image de nos automates qui embarquent désormais le protocole de chiffrement TLS, connu et reconnu pour sa robustesse. »
Ainsi, sans le savoir, les auteurs de l'attaque Stuxnet en 2010 auront largement influencé et fait évoluer la complexité des cyberattaques dans les environnements OT. Et la convergence des environnements IT/OT semble faciliter le mouvement des attaquants d’un environnement à un autre. Il sera intéressant d’observer comment les responsables OT s’adapteront dans les prochaines années pour faire coexister dette technique, cohabitation des environnements OT/IT, utilisation de nouvelles technologies et cybersécurité. Tout un programme.
