Bob Radvanovsky et Jacob Brodsky ne sont pas des inconnus dans le monde de la sécurité industrielle. Cela fait près de deux ans qu’ils balayent Internet à la recherche de signatures caractéristiques propres au système de commande de processus industriels. En d’autres termes, ce sont des chasseurs de Scada, des entomologistes de l’OIV (opérateur d’importance vitale) qui publient ouvertement ce que des organismes comme l’Anssi ne souhaitent pas voir consulté. Et leur dernier rapport en date n’est pas des plus rassurants.
Leur arme ? Shine, pour Shodan INtelligence Extraction, un outil d’analyse des résultats tirés des scans de Shodan. Shodan, conçu par John Matherly, est un formidable outil de recherche qui passe son temps à parcourir Internet et classer, numéro de port par numéro de port, service par service, les équipements qui y sont connectés. Plus qu’un grand frère de Nmap, Shodan est le Google des objets connectés, auquel n’importe qui peut avoir accès à l’aide d’un simple navigateur. Inutile de préciser que, depuis 2012, date du lancement de Shine, il s’est proféré autant de menaces, autant de prédictions catastrophiques qu’il en fut à l’apparition de Nmap… outil de pirate mettant en danger la solidité de la civilisation occidentale, coin enfoncé dans le système vital des nations, acte d’un traître irresponsable… ce genre de propos réapparaît avec régularité. Seul le sujet change, par la magie d’un couper-coller. Aujourd’hui Shine et Shodan, hier le Full Disclosure, Nmap, Metasploit, voir les simples « googlehacking » de Johnny « I hack stuff » Long. La sécurité par l’obscurantisme digère toujours très mal certains plats épicés avec de véritables morceaux d’imprécation. Le roi est nu, la cour ne souhaite pas l’entendre.
Car l’une des premières applications de Shodan a précisément été d’extraire de ses bases de données des signatures significatives, autrement dit des métadonnées prouvant que de vieilles versions de systèmes étaient en service dans telle ou telle administration, ou que tel ou tel organisme utilisait un équipement réputé pour ses mots de passe par défaut et ses vulnérabilités rarement corrigées. Des multiples publications sur le sujet, l’on peut citer la présentation de Sajal Verma intitulée Searching Shodan For Fun And Profit , qui explique comment faire « parler » Shodan avec l’aide de Metasploit. Nombre de Services en fonction, numéros de version des différents outils installés, nature des services, numéros de ports actifs et visibles, localisation géographique, nom de domaine…
Mais mettre le doigt sur une antique version de Windows 2000 n’a que peu d’intérêt en termes de niveau de risque (hormis lorsque ces antiquités arborent une IP d’opérateur télécom par exemple). En revanche, ce qui passionne Bob Radvanovsky et Jacob Brodsky, ce sont de toutes autres signatures, celles reflétant les noms de Siemens, EnergyICT, Moxa, Lantronix, VXWorks, Intoto, Allied Telesyn, Honeywell, Liebert, Lennox. Bref, des automates programmables, des calculateurs de contrôle de processus industriel, des capteurs, des actuateurs, des transmetteurs utilisés dans des raffineries, des usines de production d’énergie, des forges, des hôpitaux, des réseaux d’alimentation en eaux ou en gaz.
Si, en outre, à ces signatures, correspondent des ports détectables ( Siemens Simatic sur le port 102, Modbus sur 502, DNP3 sur 20000, Bacnet sur 47808), le doute quant à la nature de l’objet connecté n’est plus permis. Et contrairement à ce qu’affirment les opérateurs de services d’importance vitale, ces métadonnées sont belles et bien présentes sur Internet, prouvant ainsi que les réseaux industriels prétendument « isolés du réseau public » sont en fait raccordés qui à un routeur d’entreprise, qui à une « box » ADSL, qui à un convertisseur série-Ethernet lui-même relié au réseau local sur lequel pullulent quelques passerelles ouvrant sur le monde.
En 2013, la publication du premier rapport Shine avait fait l’objet d’un électrochoc. L’on aurait pu croire que le coup de semonce serait salvateur, que des mesures d’urgence seraient prises. L’édition 2014 de Shine ne montre pas franchement de très nette évolution. La France y figure peu, mais le fait toutefois avec brio. Pays où l’on aime les vins vieux et les technologies fin de race, Shine y dénombre 968 « hits » sur le port 502, avec une signature Modbus, ancêtre des bus de commande d’origine Modcomp et généralisé dans les chaînes de contrôle industriel et liaisons avec des automates programmables. Dans cette catégorie, notre nation détient une honorable cinquième place, derrière l’Italie, la Suède, l’Espagne et les USA (plus de 4000 signatures Modbus). Toutes signatures confondues, la France est au neuvième rang des « cartographiables Scada », derrière l’Italie, le Brésil, le Canada, le Royaume Unis, la Corée, la Chine, l’Allemagne et enfin, au sommet du podium, les USA qui constituent à eux seuls 33 % des « hits industriels » enregistrés. Des chiffres qui sont le reflet de l’importance du développement des industries de production… et non pas de la vulnérabilité du secteur industriel.
Car la détection d’un port ne signifie pas nécessairement la présence d’une vulnérabilité exploitable à distance. Tout au plus une forte présomption. Cependant, bon nombre d’infrastructures industrielles ou d’importance nationale (Compagnies de Bassins, opérateurs du secteur de l’énergie ou des transports…) se lancent dans une course à la connexion Internet qui était impensable il y a peu. Généralement pour des raisons économiques. Il y a dix ans, on posait une paire torsadée entre le capteur d’une vanne et le système de supervision pour connaître un niveau de remplissage de bief ou un débit de rivière. Opération lourde, coûteuse, nécessitant le creusement de tranchées, l’enfouissement de câbles, sans mentionner les difficultés administratives. De nos jours, le capteur est relié à une box ADSL via une liaison radio, puis le signal est encapsulé et véhiculé dans une trame IP transitant sur Internet (généralement chiffrée mais pas toujours), pour enfin aboutir dans la mémoire du centre de commande. Lequel ordinateur central fera emprunter peu ou prou le même chemin à un ordre destiné à un actuateur (vanne, bief) qui « bouclera » cette logique de régulation. Plus complexe mais considérablement moins cher. La fonction créant l’organe, la mode se répand au nouvelles applications telle que la régulation des feux de circulation et capteurs de trafic routier.
Shine n’est donc qu’une sorte d’état des lieux, une approche typologique que l’on peut difficilement qualifier de campagne de pentesting. Pour savoir si les signatures de Shine présentent oui ou non un risque de manière formelle, il faudrait accompagner chaque réponse d’un second niveau de test un peu plus intrusif… illégal s’il est pratiqué en dehors d’un contrat d’audit. Reste à espérer que ces audits et remédiations conséquentes seront réellement engagés avant que d’autres personnes ne s’en chargent, un peu moins scrupuleuses, beaucoup plus « étrangères », beaucoup plus à l’abri des foudres de la police, des juges et des avocats.