Et hop, trente-quatre failles d’outils de contrôle de processus (dont une grande partie « exploitable ») divulguées par le plus grand chasseur de trous de tous les temps, Luigi Auriema. A côté de çà, Stuxnet fait figure de pistolet en plastique ou de roman noir pour fillette. Avec un tel score, Auriema aurait pu lancer un « month of Scada bug » et le faire perdurer durant plus d’une année. Non seulement parce que le chercheur transalpin est un véritable génie de la découverte de failles, et ce, depuis son adolescence, mais en outre parce que les logiciels en question ont, de tous temps, été moins contrôlés que le plus simple des traitements de texte. La clientèle est moins nombreuse, moins encline à pousser ces logiciels dans leurs moindres retranchement (la production industrielle a des impératifs d’efficacité, parfois incompatibles avec une remise en cause des outils installés). C’est donc un cri d’alarme que pousse Auriema, un cri qui nous rappelle que ces logiciels de supervision sont utilisés pour piloter une station d’épuration d’eau, ils sont également utilisés dans des usines pétrochimiques, nucléaires et autres secteurs dignes d’être classés « Seveso ++ ».
Avertir, mais peut-être aussi couper l’herbe sous le pied de Gleg, entreprise Russe qui offre à la vente 22 modules « anti-programme Scada » contenant 7 ZDE… pour commencer, précise la page web. Gleg est un représentant sérieux et patenté de Canvas, l’outil de pentesting d’Immunity Sec. On est dans le business du test de pénétration, pas dans la revente de code mafieux… mais certains puristes y trouveront certainement à redire sur le plan éthique.
C’est d’ailleurs tant de la motivation que de la dangerosité potentielle que traite l’article assez long publié par Beau Woods sur le blog SecureWorks.. Pour reprendre les propos d’Auriema tenus que le Bugtraq publie, le manque d’application avec lequel ont été conçus et rédigés ces programmes est tel qu’il faut relativement peu de travail et de temps avant de découvrir une faille exploitable. Ne perdons pas de vue que Auriema est quasiment capable de découvrir des failles en dormant… il est donc loin de représenter «l’ average bug hunter ».
De prime abord, toutes ces « menaces sur les complexes industriels », surtout depuis l’affaire Stuxnet, semblent relever du fantasme le plus échevelé. Fantasme amplifié par la presse généraliste pour une raison très simple : une attaque informatique contre le Ministère des Finances, ça n’est pas très palpitant. Tout au plus peut-on rêver que tous les ordinateurs de Bercy soient frappés d’amnésie et que plus personne n’ait, un an durant, à payer ses tiers provisionnels. Parce que franchement, un octet qui se « crashe » contre une limite mémoire, ou un buffer overflow qui fait fuir de l’octet, ça n’est ni télévisuel, ni traumatisant. En revanche, une opération commando à coup de virus Scada sur une vanne de la raffinerie de Feyzin, c’est du Bruce Willis à la une, de l’explosion sur 5 colonnes… enfin quelque chose qui pourrait se voir et faire peur.
D’autre part, il faut bien admettre que s’enquiquiner à pondre un virus retord capable de modifier un point de consigne est une opération bien plus complexe et bien plus aléatoire quant au résultat, qu’une résistance de 220 ohm insérée discrètement derrière une jauge de température, ou qu’un détournement de « boucle V24 » chargée de piloter à distance une vanne, un vérin ou un relais. Pourtant le résultat sera certainement explosif, selon la fonction de ce capteur, de cette vanne, de ce vérin ou de ce relais. Bon nombre de circuits utilisés dans le contrôle de processus industriels sont totalement dépourvus de protocoles de contrôle et de sécurité, ce qui fait de l’attaque physique un moyen plus efficace qu’une compromission par des voies informatiques. Efficacité brutale du gourdin contre la subtile progression d’une menace cérébrale.
Mais la publication de Luigi Auriema montre qu’il n’est absolument pas nécessaire de dépenser des trésors d’astuce et des débauches de moyen pour fabriquer un Stuxnet vite fait sur le gaz (ou la réserve d’essence, c’est selon). Ce qui renvoie les futurs Stuxnet au rang de techno-matraque utilisable par des non-spécialistes. Sommes-nous sur le chemin d’une industrie du « kit générateur de virus Scada » ? L’on peut prévoir qu’après l’apparition des Cert bancaires, l’on commence à voir fleurir des Cert chimiques, nucléaires ou des transports et fluides, portant les blasons d’Elf, de la Cogema, des grands vendeurs d’eau ou des entreprises de transport ferroviaires et aériens.