La convergence IT/OT : les industriels doivent-ils s’attendre au pire ?

trend micro - Loïc Guézo

Une exclusivité Les-Experts.tech

Par Loïc Guézo, Stratégiste Cybersécurité Europe du Sud, Trend Micro

La transformation numérique est en marche et tous les secteurs sont concernés. De la santé aux services financiers, les DSI se voient investis d’une même mission : favoriser l’innovation et améliorer l’agilité grâce aux nouvelles technologies. Mais pour beaucoup d’entreprises, cette connectivité accrue s’accompagne inévitablement d’une plus grande exposition aux risques cyber.

Une récente étude a mis en évidence l’un des principaux maillons faibles de la chaîne de sécurité : les vulnérabilités inhérentes aux télécommandes radio fréquence qui pourraient exposer à des attaques de millions d’équipements industriels dans le monde. Les risques encourus, qui vont de l’extorsion au sabotage industriel en passant par le vol de matériels, sont susceptibles d’impacter les entreprises tant sur le plan financier qu’en termes d’image.

 

La marche vers le numérique

Les opérateurs de machinerie lourde dans les domaines de la production manufacturière, du bâtiment, des transports et d’autres secteurs industriels, investissent de plus en plus dans la connectivité afin d’accélérer leur croissance. Le Cloud et les systèmes IoT promettent de rationaliser et d’automatiser les processus, de réduire les coûts et de minimiser les erreurs manuelles. Les capteurs intelligents permettent de détecter les défaillances et d’alerter les responsables lorsque certains équipements doivent être remplacés, diminuant ainsi les temps d’arrêt. Les équipements IoT aident également à améliorer le pilotage des grues mobiles, à surveiller les émissions de gaz dangereuses en environnement minier, à établir des plans numériques pour construire de manière plus efficace, ou encore à affiner la précision des grues portuaires. Bien souvent, l’intervention humaine se limite au pilotage à distance des machines industrielles, quand elle n’est pas tout simplement superflue.

S’il présente de nombreux avantages, l’IIoT peut également engendrer plus de risques et de complexité pour les responsables informatiques. L’ajout de la connectivité aux technologies opérationnelles (OT), qui n’ont pas été conçues dans une optique de sécurité informatique, comporte un certain nombre de défis. Les télécommandes radio fréquence sont au cœur du problème. Elles ne reposent pas sur des technologies à distance régies par des normes, mais sur des protocoles radio propriétaires non sécurisés établis il y a des dizaines d’années.

Le principe de sécurité par l’obscurité prévaut toujours dans de nombreux services IT industriels. Certains équipements ne sont en effet pas patchés, soit car cette opération s’avère trop complexe, soit parce qu’ils jouent un rôle trop critique dans les opérations ou encore parce que la mise hors ligne coûte trop chère. Le remplacement des machines industrielles les plus volumineuses s’étale sur des cycles plus longs, ce qui augmente l’exposition aux risques.

Et paradoxalement, on constate que les télécommandes radio fréquence associées à de tels environnements sont souvent plus faciles à pirater que les systèmes de commande de simples portes de garage !

 

Des failles en série

En analysant les technologies de sept des principaux fournisseurs de télécommandes radio fréquence, trois manquements aux règles de sécurité élémentaires peuvent être mis en évidence : l’absence de code tournant, l’absence ou le manque de chiffrement et l’insuffisance de protection logicielle.

En exploitant ces vulnérabilités, les hackers peuvent lancer des attaques par rejeu et par injection de commande pour contrôler une machine à distance, ou tromper la fonction d’arrêt d’urgence (E-stop) en répétant des commandes afin d’entraîner un déni de service. Par découplage malveillant, un attaquant peut également cloner une télécommande à distance ou ses fonctionnalités pour mieux en pirater une légitime. Ces attaques peuvent être perpétrées à distance raisonnable du site ciblé, à l’aide d’un appareil de la taille d’une pièce de monnaie. Une autre stratégie consiste à cibler les logiciels de télécommandes à distance employés par les intégrateurs système, et ainsi lancer des attaques persistantes de type « cheval de Troie » contre les firmwares.

Les attaquants, qui connaissent parfaitement ces techniques, pourraient être engagés pour saboter les opérations d’entreprises concurrentes, extorquer de l’argent via des attaques DDoS sur la fonction E-stop, voire dérober des biens matériels. En contrôlant à distance des grues portuaires, certains groupes de hackers peuvent par exemple débarquer des conteneurs sur leurs propres véhicules avant de les exfiltrer aussitôt hors du site.

 

Quelle suite envisager ?

Ces menaces peuvent avoir de graves conséquences sur les résultats financiers, la réputation, voire l’intégrité physique des salariés d’entreprises industrielles. Quelle approche les professionnels de la cybersécurité doivent-ils donc adopter ? La première difficulté consiste à bien saisir l’ampleur de la tâche. Des études poussées peuvent aider les organisations utilisant des équipements IIoT, les prestataires de sécurité, les intégrateurs systèmes et l’ensemble des acteurs à appréhender ces enjeux.

Ensuite, les prestataires de sécurité devront fournir des mises à jour sécurisées pour les firmwares des équipements industriels existants, instaurer un code tournant pour limiter les attaques par rejeu et mettre en place des mécanismes inviolables pour aider à se prémunir face aux risques de rétro- ingénierie. À l’avenir, ils devront s’appuyer sur des protocoles standard sécurisés et reconnus tels que Bluetooth Low Energy. Les intégrateurs systèmes auront leur rôle à jouer en veillant à ce que les télécommandes à distance programmables soient dotées d’un « air gap », ou renforcées à l’image d’un Endpoint sécurisé. Pour mieux se protéger, ils devront également envisager d’adopter des produits de nouvelle génération basés sur des normes.

Tant que la sécurité informatique sera traitée comme un élément secondaire, les perspectives ne seront guère réjouissantes. Mais dès lors que les industriels commenceront à suivre les meilleures pratiques du Security by Design (sécurité intégrée dès la phase de conception), tous les scénarii évoqués ci-dessus ne devraient pas se matérialiser… du moins, espérons-le !

%d blogueurs aiment cette page :