Quelles couches d’une infrastructure SCADA un attaquant est-il le plus susceptible de frapper ? Amol Sarwate, responsable du laboratoire de recherche en vulnérabilités chez Qualys, détaillait le mille-feuilles SCADA et ses différents angles d’attaques potentiels lors de la conférence Hack In Paris, la semaine dernière.

L’acquisition

Première étape de la chaîne SCADA, l’étage d’acquisition n’est pas une cible particulièrement attirante pour un attaquant : il s’agit essentiellement d’équipements destinés à convertir des mesures physiques (température, pression, etc…) en impulsions électriques analogiques. A ce stade les seules attaques relèvent alors du vandalisme ou, dans le cas d’une attaque ciblée, du sabotage. Mais l’attaque est alors immédiatement visible.

La conversion

Il s’agit ici de convertir le signal électrique analogique issu des sondes en un signal numérique qui pourra ensuite être traité. Cette première étape numérique se prête essentiellement à une modification en ligne des données, qui permettrait d’injecter de fausses informations dans la chaîne. Pour ce faire un attaquant devrait toutefois être physiquement présent sur l’équipement et en connaître parfaitement le fonctionnement et les protocoles. Contrairement aux attaques de sabotages précédentes, une attaque à ce stade pourrait passer inaperçue.

La transmission

C’est ici que l’essentiel des attaques SCADA pourra avoir lieu. Et pour cause : l’attaquant peut non seulement oeuvrer à distance, mais surtout Modbus, le protocole SCADA le plus répandu, fonctionne très bien sur IP et ne fournit aucun mécanisme de sécurité. Autant dire que c’est la recette d’une catastrophe annoncée. Amol Sarwate présentait à l’occasion son scanner SCADA Open Source, capable de comprendre le protocole et découvrir des identifiants d’équipement SCADA sur un réseau IP par force brute afin de se faire passer pour leur contrôleur (à noter que Nessus dispose aussi d’un plugin Modbus).

Le protocole Modbus n’offre aucune authentification client ou serveur, ni aucun chiffrement, ce qui rend l’attaque ce type d’attaque particulièrement simple. Un protocole plus solide existe bien (DNP3) mais il est encore bien trop rare, car trop jeune à l’échelle des installations SCADA conçues pour fonctionner sur plusieurs décades.

Le contrôleur

Dernière étape de la chaîne, et non des moindres : le contrôleur. Il s’agit ici d’un vulgaire PC équipé d’un logiciel spécifique. Son rôle est d’interpréter les informations numériques issues du réseau afin de les présenter aux opérateurs, et de transmettre en retour les ordres de ces derniers aux équipements en bout de chaîne.

La principale vulnérabilité de cet étage tient à sa vétusté : il n’est pas rare que la machine hébergeant le logiciel de contrôle fonctionne sous Windows NT et qu’elle n’ait pas vu un correctif depuis plusieurs années (et que l’équipe IT ne souhaite d’ailleurs pas les appliquer de peur que le système ne redémarre plus…). Par ailleurs le logiciel métier lui-même n’offre généralement aucune gestion multi-comptes, voire aucun contrôle d’accès : ses développeurs estiment qu’il est mis en oeuvre dans un environnement physique sécurisé et cela leur suffit. Par ailleurs, dans l’éventualité d’une urgence (une vanne à fermer, par exemple), les opérateurs industriels ne souhaitent généralement pas avoir à entrer un mot de passe avant d’intervenir.

Mais d’un point de vue purement IT, l’absence chronique de mises à jour système et d’authentification constitue une vulnérabilité. D’autant plus que ces systèmes sont parfois directement connectés au réseau interne « bureautique », ou même dans certain cas isolés à Internet.

C’est l’élément de contrôle qui était par exemple visé par Stuxnet : celui-ci modifiait à la fois les ordres envoyés par la console et les informations affichées à l’écran.

Se protéger

La sécurité des infrastructures industrielles dépasse le cadre de l’entreprise : les cartes sont pour l’essentiel entre les mains des fabricants d’équipements. Ceux-ci devraient être encouragés à offrir des produits capables de suivre le rythme des correctifs OS de l’informatique bureautique (et les éditeurs de logiciel de contrôle devraient offrir une assistance au déploiement des patches majeurs). De même l’usage généralisé du protocole DNP3 élèverait certes le niveau de sécurité des réseaux SCADA, mais la durée de vie de ces derniers fait que Modbus a encore de beaux jours devant lui.

De son côté l’entreprise en est réduite à s’assurer de l’isolation parfaite des réseaux industriels vis-à-vis de l’informatique bureautique et, bien entendu, d’Internet.