Contenu connexe
Similaire à Cours CyberSécurité - Infrastructures Critiques (20)
Cours CyberSécurité - Infrastructures Critiques
- 2. Master Droit - Franck Franchin - © 2013
Les systèmes ou les actifs essentiels au niveau d’un
pays pour assurer le fonctionnement de la société et
de l’économie :
◦ Réseaux de production et de distribution de l’énergie
◦ Réseaux de production et de distribution de l’eau
◦ Réseaux de transports des biens et des personnes
◦ Réseaux de télécommunications
◦ Production et distribution de la nourriture
◦ Santé publique
◦ Services financiers
◦ Sécurité de l’Etat, des biens et des citoyens
Une définition plus limitée restreint l’expression aux
besoins vitaux d’un pays
- 3. Master Droit - Franck Franchin - © 2013
L’Union Européenne a défini en 2006, puis 2009
◦ EPCIP - European Programme for Critical Infrastructure
Protection
◦ Chaque infrastructure critique identifiée doit disposer
d’un OSP (Operator Security Plan) : identification des
actifs, analyse de risques et de vulnérabilités,
procédures et mesures de protection
◦ ENISA
Les USA ont commencé à mettre en place une
doctrine en 1996 (programme CIP), étendue en
2001 dans le ‘Patriot Act’
- 4. Master Droit - Franck Franchin - © 2013
Militaire :
◦ ‘Pearl Harbor électronique’
◦ Atteinte aux intérêts vitaux de l’Etat
◦ Cyberterrorisme
Industrie :
◦ Vol de propriété intellectuelle
◦ Perte d’exploitation
◦ Cybercriminalité
- 6. Master Droit - Franck Franchin - © 2013
Première version active probablement depuis Juin 2009
Détecté par la société biélorusse VirusBlokAda en Juillet 2010 chez un de
ses clients iraniens
W32.Stuxnet - 2 serveurs C&C situés en Malaisie
Propagation via USB (clé)
Utilise les certificats (volés) de 2 sociétés : RealTek et JMicron
Exploite 3 ou 4 Zero-Day (dont un qui touche tous les WinOS)
MAJ possible sans C&C via un P2P (RPC)
Cible : Siemens SIMATIC Series 7 PLC/WinCC
Infection différente selon la cible (PLCs)
Entre 20’000 et 50’000 PCs contaminé, selon Symantec, plus de 100’000
selon Kaspersky
4 pays majoritairement touchés : Iran, Indonésie, Inde, Pakistan
Payload complexe : vol de données, compromission, sabotage
Des sites de support ont été victimes de DoS (Ping Flood) depuis la Chine
- 7. Master Droit - Franck Franchin - © 2013
Le Siemens Organization Block 35 (process
watchdog) est modifié par Stuxnet – Il gère
des opérations critiques qui requièrent des
temps de réponse inférieurs à 100 ms
La cible pourrait être la centrale
de Bushehr, en construction mais
aussi des centrifugeuses sur le
site de Natanz
Famille de PLC concernés :
6ES7-417 et 6ES7-315-2 -> cibles complexes !
* multiples ProfiBus * Puissance CPU
Pourtant, l’Iran ne devrait pas disposer
de technologies Siemens Scada
(sanctions ONU) ?
- 8. Master Droit - Franck Franchin - © 2013
Quelques chiffres :
◦ Développement évalué à 10 hommes.ans
◦ Entre 6 et 8 personnes/teams différents
◦ Un développement étalé sur plusieurs années (différentes versions d’outils
de développement)
◦ Une faille zéro-day peut se négocier à $200’000 (il y en avait 4)
Les moyens :
◦ Les certificats ont été volés à deux sociétés sur le même site physique en
Chine - Le vol ‘logique’ à la Zeus est donc statistiquement peu probable et le
vol ‘physique’ par intrusion ou compromission est à privilégier
◦ Les clés USB ont probablement été introduites en Iran via le sous-traitant
russe ou via des opérationnels compromis. Plusieurs versions semblent
avoir été introduites sucessivement
Les fantasmes :
◦ Stuxnet contient dans son code le mot ‘Myrtus’ qui fait référence au Livre
d’Esther de l’Ancien Testament, reine perse qui a sauvé son peuple de
l’extermination
- 9. Master Droit - Franck Franchin - © 2013
Découvert en Mai 2012
Charge virale importante : 20 Mo
Inclus un serveur SQLite et une machine virtuelle Lua
Interception d’emails, de fichiers, enregistrement de
conversations en ligne
Serait antérieur à Stuxnet !
Coût évalué à $100M par Kaspersky Labs, 5 ans de
développement
Cible : Iran
Objectif : collecte de données pré-Stuxnet
9
- 10. Master Droit - Franck Franchin - © 2013
Découvert en Juin 2012
Il aurait commencé à infecter les ordinateurs en
Septembre 2011
Kit Cheval de Troie destiné à espionner les échanges de
données bancaires
Se déclenche sur des mots clés comme :
paypal, mastercard, eurocard,visa, americanexpress, bankofbeirut,
creditlibanais, amazon, facebook, gmail, hotmail, ebay mais pas
sur Audi Bank qui est un poids lourd local
Cible : banques libanaises principalement
Utilise la même vulnérabilité ‘clé USB’ que Stuxnet et
Flame
10
- 11. Master Droit - Franck Franchin - © 2013
Aucun autre malware n’a jamais intégré ce type de
mécanisme
Payload étrange : une partie du code reste non déchiffré
car la clé de déchiffrement serait lié à une configuration
particulière…
Même famille : Duqu, Stuxnet, Flame, Gauss
11