ASFWS 2011 : Cyberguerre et Infrastructures critiques : Menaces & Risques

Infrastructures Critiques
Cyberguerre: Menaces & Risques

Franck Franchin
Chercheur en Cybersécurité à HEC Lausanne
Directeur de mission à la Direction de la Sécurité Groupe – ORANGE

Application Security Forum
Western Switzerland

27 octobre 2011 - HEIGVD Yverdon-les-Bains
http://appsec-forum.ch

Présentation personnelle
 Directeur délégué depuis 2002 à la Direction de la Sécurité
Groupe du Groupe France Telecom – Orange
 Chercheur en cybersécurité et en résilience des infrastructures
vitales à HEC Lausanne.
 Spécialiste depuis 20 ans en architectures sécurisées de
systèmes civils ou militaires et en cybercriminalité
 Ingénieur en informatique (SUPELEC), ingénieur en électronique
et traitement du signal (ENSEEIHT) et titulaire d’un MBA (ESCP).
 Auteur & Conférencier (sécurité, cybercriminalité, doctrines de
cyberdéfense, entrepreneuriat)
 Serial-entrepreneur (dont une société de crypto revendue au
groupe France-Telecom en 2002)
 Business Angel
27.10.2011 Application Security Forum - Western Switzerland - 2011 2

Agenda
 Quelques Définitions
 Introduction aux Architectures SCADA
 Vulnérabilités intrinsèques et systémiques
 Stuxnet
 Quels Risques ?
 Problématique
 Démarche proposée
 Q&R


Infrastructure critique ou vitale ?
 Les systèmes ou les actifs essentiels au niveau d‟un pays
pour assurer le fonctionnement de la société et de
l‟économie :

– Réseaux de production et de distribution de l‟énergie
– Réseaux de production et de distribution de l‟eau
– Réseaux de transports des biens et des personnes
– Réseaux de télécommunications
– Production et distribution de la nourriture
– Santé publique
– Services financiers
– Sécurité de l‟Etat, des biens et des citoyens

 Une définition plus limitée restreint l‟expression aux
besoins vitaux d‟un pays
 CI – Critical Infrastructure
 CII – Critical Information Infrastructure
Franck Franchin - © 2011 4

Définitions (1/3)
 Sécurité d‟un système ou d‟un service :
• La sécurité d‟un système ou d‟un service est l'état
d'une situation présentant le minimum de risques, à
l'abri des dangers, des menaces. La mise en sécurité
consiste à garantir la pérennité de cet état de sécurité
par le recours à des moyens permettant soit de
supprimer certains risques (mitigation) soit de les
réduire à un niveau acceptable (risque résiduel).
• Les anglo-saxons parlent de security (sécurité contre
les actes malveillants) ou de safety (sécurité contre les
risques accidentels).


Définitions (2/3)
 Sûreté de fonctionnement d‟un système ou
d‟un service :
• La sûreté de fonctionnement d‟un système ou d‟un
service est son aptitude d‟une part à disposer de ses
performances fonctionnelles et opérationnelles
(fiabilité, maintenabilité, disponibilité) et d‟autre part,
à ne pas présenter de risques majeurs (humains,
environnementaux, financiers).
• Les anglo-saxons parlent de dependability.


Définitions (3/3)
 Résilience d‟un système ou d‟un service :
• La résilience est la capacité d‟un système ou d‟un
service à résister à une panne ou à une cyber-attaque
et à continuer de fonctionner en garantissant un
certain niveau de service (mode complet ou mode
dégradé) puis à revenir à son état initial après
l‟incident.


Vision politique
 L‟Union Européenne a défini en 2006, puis 2009
– EPCIP - European Programme for Critical
Infrastructure Protection
– Chaque infrastructure critique identifiée doit
disposer d‟un OSP (Operator Security Plan) :
identification des actifs, analyse de risques et de
vulnérabilités, procédures et mesures de protection
– ENISA (Agence de sécurité européenne)
 Les USA ont commencé à mettre en place une
doctrine en 1996 (programme CIP), étendue en
2001 dans le „Patriot Act‟


Vision militaire vs civile
 Militaire :
– „Pearl Harbor électronique‟
– Atteinte aux intérêts vitaux de l‟Etat
– Cyberterrorisme
 Industrie :
– Vol de propriété intellectuelle
– Perte d‟exploitation
– Cybercriminalité


Architectures SCADA

Hybridation
du monde industriel
avec le monde informatique

Architectures SCADA
 SCADA pour
Supervisory Control And Data Acquisition
– Processus industriels (usines, centrales nucléaires…)
– Infrastructures publiques/privées (réseaux de distribution)
 Composants clés :
– HMI (Human Machine Interface) pour les opérateurs
– Supervisor – Acquisition des données et envoi des
commandes selon une logique de processus
– RTUs (Remote Terminal Units) qui sont les interfaces entre
les capteurs et le Supervisor
– PLCs (Programmable Logic Controllers) qui reçoivent des
commandes, les traduisent pour les éléments actifs
– Un ou plusieurs réseaux de communication entre les
différents composants


Fournisseurs SCADA
 Siemens – Simatic Step7
– Leader sur les plate-formes pétrolières offshore
– Leader sur les PLC en environnement industriel
 General Electric – Fanuc
– Leader sur les réseaux électriques
 Allen-Bradley/Rockwell Automation
 Areva – e-terracontrol
– Acteur majeur sur les réseaux électriques


Vulnérabilités (1/2)
 Les caractéristiques propres aux systèmes SCADA
entraînent des vulnérabilités intrinsèques :
– Peu de prise en compte de la sécurité et de l‟authentification
lors des phases de conception et de déploiement
– Utilisation de technologies courantes : Windows, SQL Server,
WINS, OLEdb, Visual Basic (!)
– Intégration non prévue lors de la conception avec le réseau
de l‟entreprise (GPAO, SAP, etc…)
– Nécessité pour certains systèmes de disposer d‟accès à
distance via Internet ou liaison „radio‟ (GPRS)
– Information accessible – les manuels techniques sont
disponibles assez facilement- avec les mots de passe par
défaut (!)


Vulnérabilités (2/2)
 Une culture et une expérience des opérationnels
différentes du monde informatique :
– Protocoles propriétaires : sécurité par l‟obscurité ?
– “Ne changez surtout pas le mot de passe par défaut !”
– Sécurité physique <> Sécurité logique
– Déconnectés de l‟Internet : havre de paix ?
– Environnement „métier‟ hermétique aux externes : sans le
mapping d‟une installation, il serait impossible de générer
des paquets malicieux…
– Des opérateurs non formés à la sécurité informatique
 Un partenariat public-privé qui empêche les Etats de
définir clairement les périmètres de sécurité
• Spectre du call-center en Inde ou au Maroc ?


Menaces directes
 Accès non autorisé aux systèmes de
supervision
 Interception et/ou modification des
données sur les réseaux de communication
– Exemple donné par la société israélienne C4 :
interception des données jour/nuit d‟un réseau
de distribution électrique et renvoi des données
nuit/jour
 Large disponibilité de Kit d‟attaques (rootkit,
DoS, etc.) du monde WinOS financés par la
cybercriminalité


Stuxnet
 Première version active probablement depuis Juin 2009
 Détecté par la société biélorusse VirusBlokAda en Juillet 2010 chez un
de ses clients iraniens
 W32.Stuxnet - 2 serveurs C&C situés en Malaisie
 Propagation via USB (clé)
 Utilise les certificats (volés) de 2 sociétés : RealTek et JMicron
 Exploite 3 ou 4 Zero-Day (dont un qui touche tous les WinOS)
 MAJ possible sans C&C via un P2P (RPC)
 Cible : Siemens SIMATIC Series 7 PLC/WinCC
 Infection différente selon la cible (PLCs)
 Entre 20‟000 et 50‟000 PCs contaminé, selon Symantec, plus de
100‟000 selon Kaspersky
 4 pays majoritairement touchés : Iran, Indonésie, Inde, Pakistan
 Payload complexe : vol de données, compromission, sabotage
 Des sites de support ont été victimes de DoS (Ping Flood) depuis la
Chine


Stuxnet ciblait-il l’Iran ?
La cible pourrait être la centrale
de Bushehr, en construction mais
aussi des centrifugeuses sur le
site de Natanz

Pourtant, l‟Iran ne devrait pas disposer
de technologies Siemens Scada
(sanctions ONU) ?

Famille de PLC concernés :
6ES7-417 et 6ES7-315-2 -> cibles complexes !
* multiples ProfiBus * Puissance CPU

Le Siemens Organization Block 35 (process
watchdog) est modifié par Stuxnet – Il gère
des opérations critiques qui requièrent des
temps de réponse inférieurs à 100 ms


Qui est derrière Stuxnet ?
 Quelques chiffres :
– Développement évalué à 10 hommes.ans
– Entre 6 et 8 personnes/teams différents
– Un développement étalé sur plusieurs années (différentes versions
d‟outils de développement)
– Une zéro-day peut se négocier à $200‟000 (il y en avait 4)
 Les moyens :
– Les certificats ont été volés à deux sociétés sur le même site physique
en Chine - Le vol „logique‟ à la Zeus est donc statistiquement peu
probable et le vol „physique‟ par intrusion ou compromission est à
privilégier
– Les clés USB ont probablement été introduites en Iran via le sous-
traitant russe ou via des opérationnels compromis. Plusieurs versions
semblent avoir été introduites sucessivement
 Les fantasmes :
– Stuxnet contient dans son code le mot „Myrtus‟ qui fait référence au
Livre d‟Esther de l‟Ancien Testament, reine perse qui a sauvé son
peuple de l‟extermination


Doctrines de Cyberguerre
 Chine : “Fighting Local War under Informationized
Conditions”
– Domination du cyber-espace
– Attaques préventives des C4ISR ennemis/alliés (Command,
Control, Communications, Computers, Intelligence,
Surveillance and Reconnaissance)
– Operation Aurora…
 USA : création d‟un US Cyber Command
 Russie :
– Estonie en 2007
– Géorgie en 2008
 Israël : Unit 8200
– Operation Orchard (Syrie, 2007)…


Doctrines de Cyberguerre
 Iran : un mix-product !
– Stuxnet
– „Accidents‟ touchant des chercheurs de haut niveau
(Prof. Shahriari tué et Prof. Abbassi blessé le 29 Nov
2010 )
– Mesures économiques et politiques de rétorsion
 La cyberguerre n‟est qu‟une des armes de l‟arsenal
mis à disposition des militaires et des politiques
 Les guerres futures seront des mélanges
d‟approches conventionnelles et „irrégulières‟.
 Le champ de bataille sera „distribué‟ (quid du pilote
de drone assis dans un fauteuil en Floride ?)
 Contre qui riposter en cas d‟attaque ?!


Définition du Terrorisme
 "Terrorism is the premeditated,
deliberate, systematic murder, mayhem,
and threatening of the innocent to create
fear and intimidation in order to gain a
political or tactical advantage, usually to
influence an audience"– James M. Poland,
2002


Définition du CyberTerrorisme
 “...the convergence of terrorism and cyberspace. It is
generally understood to mean unlawful attacks
against computers, networks, and the information
stored therein when done to intimidate or coerce a
government or its people in furtherance of political
or social objections. Further, to qualify as
cyberterrorism, an attack should result in violence
against persons or property, or at the least cause
enough harm to generate fear. Attacks that lead to
death or bodily injury, explosions, plane crashes,
water contamination, or severe economic loss would
be examples.” - Dr. Dorothy Denning, 2007.


CyberTerrorisme
 Propagande
 Recrutement
 Financement (direct ou via cybercriminalité)
 Cyberattaques ?
– Quels seraient les points d‟emploi générateur
d‟extrême violence et/ou de terreur
– Coût d‟opportunité
– Exemple de Stuxnet ?
– Partie d‟une attaque coordonnée plus globale :
• Pour „fixer‟ les organisations gouvernementales
• Pour désorganiser l‟Etat et la population
• Pour „amplifier‟ l‟acte principal


Quels risques ?
 Les architectures SCADA sont utilisées dans
l‟industrie (chimie, automobile, emballage,
alimentaire, etc.) et dans les infrastructures
vitales (nucléaire, réseaux de distribution
d‟eau, de gaz et d‟électricité, militaire ?)
 Les risques :
– Sécurité sanitaire
– Impact environnemental
– Perte d‟exploitation
– Destruction d‟équipements sensibles ou coûteux
– Vol d‟information, de secret industriel, d‟IP
– Atteinte à l‟image


Quelles menaces ?
 A priori, une cible de choix pour :
– Désorganiser
– Semer la terreur par des dommages directs ou
indirects
 Stuxnet a montré que ces systèmes, même
„déconnectés‟, sont des cibles atteignables par
ceux qui en ont les moyens et la détermination
 Les terroristes apprennent vite…
– Le fameux téléphone qui a explosé dans les locaux
de l‟Unit 8200 en Février 1999 (Hezbollah)
– Les drones utilisés lors du dernier conflit Israël-
Liban-Hezbollah en 2006 (attaque d‟un navire
israélien par un UAV, piratage des drones israéliens,
drones de reconnaissance du Hezbollah)


Petit historique
 2000 – Maroochy en Australie – Le saboteur a pu se connecter
46 fois à distance sur le Scada de cette usine de retraitement
avant d‟être identifié – 800‟000 litres déversés
 2005 - Le vers Zotob – 13 usines automobiles US touchées –
50‟000 ouvriers au chomage technique – environ $10 millions
de perte d‟exploitation
 2006 – Grave incident de sécurité à la Centrale Nucléaire de
Browns Ferry – Cause probable : surcharge sur le bus
propriétaire d‟échange de données - 2 jours d‟arrêt
 2008 – Arrêt d‟urgence du réacteur nucléaire de la centrale de
Hatch – Cause probable : la MAJ d‟un PC bureautique utilisé
aussi pour de la supervision - 2 jours d‟arrêt
 2008 – Détournement par un adolescent du système de
contrôle de trafic des trams de la ville de Lodz (PL) – 4 trains
ont déraillé.


Quels gains pour l’attaquant ?
 Chantage/Extorsion - Un nouveau type
de DDoS ?
 Vol de propriété intellectuelle –
Espionnage
 Sabotage – Terroriste ou Acte de guerre
 Vengeance - Employé indélicat
 Stuxnet : quel a été l‟impact sur le
grand-public ?

Comment augmenter la résilience ?
 Les recettes classiques :
– politiques de sécurité,
– analyse de vulnérabilités,
– évaluation de la sécurité & audit,
– traçabilité & journalisation des événements
– gestion de crise et exercice de simulation
– gestion du facteur humain
 Des recettes spécifiques :
– Séparer, cloisonner et étanchéifier les sous-systèmes
– Définir des zones de sécurité avec des politiques et des
contrôles/audits différents
– Analyser de manière pro-active les menaces et les
risques
– Contrôler l‟intégrité du code (PLC…)


ANSI/ISA-99
 Spécifications issues des travaux de l‟ISA
(Instrumentation, Systems and Automation Society)
et de l‟ISCI (ISA Security Compliance Institute)
 Programme de certification ISASecure des PLC
(Programmable Logic Controller), DSC (Distributed
Control Systems) et SIS (Safety Instrumented
Systems)
 Concept-clé : “Zones & Conduits” pour pouvoir
implémenter une défense en profondeur
 Chaque zone doit avoir sa propre politique de
sécurité et son évaluation de risques

L’exemple Airbus
 Safety (sûreté): Respecter les réglementations, gérer
les pannes (températures, pannes matérielles),
envoyer automatiquement un rapport de panne au
sol en cas d'avarie, et globalement tout ce qui touche
à l'avion en lui-même.
 Security (sécurité): Se protéger des actes
malveillants. Les menaces sont diverses, allant des
clandestins (personnes ou bagages), ou encore vis à
vis des attaques depuis le sol (missiles).
 Une PKI est déployée sur tous les A380, entre autre
pour signer les logiciels embarqués


Conclusion
 Never Trust Software Vendors
 Never Trust Consultants

Make it simple !!!!


Vos Questions ?

In the four months since Stuxnet appeared for the first
© flickr.com/horiavarlan

time, a total of 22 Siemens customers worldwide from
an industrial environment have reported an infection
with the Trojan.
In all cases the malware could be removed.
In none of these cases did the infection cause an adverse
impact to the automation system.
Siemens Support Website, 22 Novembre 2010

“All that is necessary for Evil to triumph
is for good men to do nothing” – Edmund Burke, 1770

Merci!

Franck Franchin
franck.franchin@unil.ch
franck.franchin@orange.com
Blog: http://www.ci-resilience.com

SLIDES A TELECHARGER PROCHAINEMENT:
http://slideshare.net/ASF-WS


ASFWS 2011 : Cyberguerre et Infrastructures critiques : Menaces & Risques

Contenu connexe

Tendances

En vedette

Similaire à ASFWS 2011 : Cyberguerre et Infrastructures critiques : Menaces & Risques

Plus de Cyber Security Alliance

ASFWS 2011 : Cyberguerre et Infrastructures critiques : Menaces & Risques