Analyse partielle et partiale, puisqu’effectuée par Trend Micro, un vendeur de sécurité, mais confirmée en grande partie par les quelques piratages grandioses dans le secteur de l’énergie (de Stuxnet au hack des centrales d’Ukraine). Les deux talons d’Achilles des OIV sont les IHM et l’inertie au déploiement de correctifs… du fait des éditeurs mêmes.
La « valse lente du patch après la découverte de bug » est en partie provoquée par les entreprises vendant des systèmes d’automatisation de contrôle de processus industriels. Lesquels ont besoin, en moyenne, de 150 jours pour fournir une rustine. 5 mois de fenêtre de vulnérabilité potentielle, à laquelle s’ajoute probablement la lenteur de déploiement de la part de l’usager. On ne suspend pas la chaîne de production d’un cimentier ou d’un géant de la pétrochimie sans conséquences techniques et financières. Des métriques qui varient tout de même d’un équipementier à l’autre. Parmi les mauvais élèves du patch, l’étude cite ABB (221 jours en moyenne) PTC et General Electric (226 jours), Indusoft (214 jours). Mais chez Trihedral Eng, la moyenne tombe à 23 jours et à 58 jours chez Cogent. A noter que les géants historiques se situent dans une fourchette de 120 à 150 jours : Schneider, Honeywell, Rockwell Automation, Advantech…
Ces 150 jours, font remarquer les statisticiens de Trend Micro, sont à comparer aux 116 jours en moyenne nécessaires à un Microsoft ou à un Adobe pour colmater une faille Windows ou Acrobat. Mais le monde industriel n’a pas à rougir. Cette même moyenne, dans le secteur « business et entreprise », frise les 200 jours (un semestre) chez des fournisseurs tels que HPE ou IBM.
Les vulnérabilités liées aux IHM, quant à elles, sont de nature essentiellement technique : corruption mémoire (20% des vulnérabilités identifiées), mauvaise gestion des identifiants tels que mots de passe « en dur » ou non chiffrés (19%), défaut d’authentification, parfois même configurations par défaut critiques (12%), on retrouve là des vieux classiques de la sécurité de premier niveau. Ces erreurs de conception relèvent de la tare génétique. Des années durant, le monde de l’automatisme a reposé sur des systèmes informatiques spécifiques, souvent des mini-ordinateurs, avec des périphériques tout autant spécifiques sinon uniques et conçus sur mesure, et surtout non-interconnectés, ou reliés par des bus sériels aux protocoles exotiques. Depuis, Tcp/ip est passé par là, et un BoF autrefois passé inaperçu peut aujourd’hui faire l’objet d’une attaque distante.