Nouvelle alerte sur la sécurité des systèmes SCADA (Supervisory Control And Data Acquisition) après la divulgation de codes permettant d'exploiter des failles logicielles dans ces systèmes informatiques.
Un chercheur italien, Luigi Auriemma, a mis en ligne le 21 mars des PoC (proof-of-concept) sur la liste de diffusion BugTraq. Ces exploits démontrent la faisabilité d'attaques contre divers logiciels déployés dans des systèmes SCADA (Siemens Tecnomatix FactoryLink, Iconics GENESIS32 etGENESIS64, 7-Technologies IGSS et DATAC RealWin).
Des systèmes critiques de plus en plus connectés
Suite à cette divulgation de failles, un organisme de sécurité américain, l'ICS-CERT (Industrial Control System Computer Emergency Response Team) a émis des alertes de sécurité concernant les logiciels vulnérables.
« L'ICS-CERT recommande aux utilisateurs de minimiser l'exposition réseau pour l'ensemble des équipements de contrôle système. » L'entité préconise de placer ces réseaux sensibles et souvent critiques derrières des pare-feu et de les isoler du réseau conventionnel de l'entreprise. Des conseils de bon sens qui ne sont toutefois pas systématiquement respectés.
Il s'agit déjà de la seconde alerte en l'espace de seulement quelques jours. Une semaine plus tôt, c'est en effet la société de sécurité russe Gleg qui avait publié un pack d'exploits pour l'outil d'audit de vulnérabilité Canvas.
En 2010, c'est le virus Stuxnet qui avait remis sur le devant de la scène la sécurité des systèmes industriels, souvent critiques comme le sont ceux pilotant les centrales nucléaires, par exemple. Pour autant, les menaces ne sont pas nouvelles et les experts de la sécurité les ont déjà abordées à plusieurs reprises au cours des dernières années.
Des logiciels conçus pour être fiables, non résistants aux attaques
Une accentuation des risques est cependant notée ; celle-ci a plusieurs causes, dont la principale est sans doute la migration des environnements informatiques industriels sur des solutions standardisées, tel que Windows. En outre, les SCADA ont dans certains cas été connectés à Internet (pour des raisons métiers), rendant ainsi exploitables à distance certains failles logicielles, dont ne sont pas exemptes ces solutions.
« Je ne suis pas surpris de toutes ces vulnérabilités. Le département de la sécurité intérieur met en place une grande session de formation qui insiste sur tout un ensemble de vulnérabilités » confie à CNet.com, Mike Ahmadi de la société de conseil GraniteKey.
« Les vulnérabilités SCADA/ICS sont relativement nombreuses, ces systèmes n'étant pas conçus pour être sécurisés. Ils l'ont été pour être fiables, mais la sécurité tend à influer sur la fiabilité si elle n'est pas convenablement implémentée et gérée » ajoute-t-il.
Lire la suite de l'article.
Auteur : Christophe Auffray, ZDNet France.
