Cauchemars dans le Scada, le retour. Après la vague d’articles sur la vulnérabilité des automates programmables sur lesquels il reste encore beaucoup de travail à faire, après la prise de conscience de la vulnérabilité des protocoles utilisés dans le domaine de la régulation et du contrôle de processus industriel (non, Modbus n’est pas mort et ses héritiers sont à peine mieux protégés), voici que le monde de la sécurité commence à s’intéresser aux vulnérabilités des équipements de commutation propres au secteur de l’industrie de production. L’Ethernet du brick and mortar, la couche de transport des centrales électriques et nucléaires, des réseaux ferroviaires, des haut-fourneaux et des centres de distribution en eau.
Pourquoi ces jours-ci ? parce que Colin Cassidy, Robert Lee et Eireann Leverett se sont penchés sur le sujet et dévoileront le résultat de leurs recherches à l’occasion de la Black Hat Vegas, la semaine prochaine. Et, à l’instar de bien des chercheurs, ils « préparent le terrain et font chauffer la salle en se livrant à quelques confidences auprès de journaliste. Plus précisément Patrick Howell O’Neill du Webzine DailyDot. Et les révélations sont presque sans surprise, tout comme sont sans surprise les noms des « usual suspects » : Siemens, GE, Garrettcom, Opengear.
Tout commence avec les protocoles transportés. Pas ou peu de contrôle d’intégrité cryptographique, authentification approximative ou inexistante, on est encore loin des mécanismes d’échange de signature et de périphériques « signés » de l’informatique traditionnelle. De là à imaginer la possibilité d’injecter des « mises à niveau de firmware » habilement forgés, il n’y a qu’un pas, qui conduit tout droit au pire des scénarii catastrophes ou au plus discret des vecteurs d’espionnage. De la surveillance des capacités de production d’un adversaire à l’attaque façon Stuxnet (mais hébergée non plus sur un automate mais dans un routeur), l’éventail des attaques « man in the middle » est large.
Ces commutateurs, explique Robert Lee à O’Neil, ont longtemps été considérés comme des équipements de seconde importance, de la quincaillerie réseau nécessaire mais totalement sans rôle stratégique. Mais avec l’évolution des infrastructures et leurs ouvertures vers d’autres réseaux, le switch se trouve exposé à des attaques tout à fait classiques. Mais à la différence du secteur TIC lesdits commutateurs présentent des vulnérabilités que l’on rencontre de moins en moins dans les fournitures réseau conventionnelles. Mots de passe par défaut, interfaces d’administration embarquées vulnérables, clefs de chiffrement codées « en dur », absence de protocole d’authentification lors des mises à jour des firmwares… à ceci s’ajoutent des faiblesses protocolaires qui ouvrent la porte à des attaques connues : XSS, XSRF, identifiants de sessions forgés, et pis encore, telles les fameuses « backdoors de maintenance » accessibles via des liaisons IP non chiffrées…
Ces failles sont d’autant plus préoccupantes que la fenêtre de vulnérabilité est large. Pour combler de tels défauts, il faut au constructeur entre 1 et 3 ans. Des délais qui peuvent paraître insensés pour qui travaille dans le secteur informatique traditionnel, mais qui ne choquent pas les spécialistes du « process control ». Modifier, ne serait-ce qu’un octet, dans une infrastructure vitale, c’est s’exposer à des conséquences véritablement catastrophiques en cas de régression. Chaque correctif doit être testé dans toutes les configurations possibles. Et, en matière de tests de régression, il faut bien avouer que les vendeurs de matériel ne pratiquent, la plupart du temps, que la règle du « ça marche, on ne touche pas ». Leur situation de quasi-monopole renforce leur position, et seules les initiatives gouvernementales, les incitations des DHS et autre Anssi, commencent à faire évoluer les mentalités.
Chaque année, tant la Black Hat que la Defcon nous apporte son lot de « Die Hard 4 ». Ce qui est miraculeux, c’est qu’en apparence, ces trous ne sont toujours pas exploités, ou très rarement. Pourquoi ? Probablement parce que l’ère du « cracker-vandale » est largement révolue, et que de telles cibles n’intéressent que deux types de pirates potentiels : les Etats-Nation et les concurrents industriels peu scrupuleux. Ces deux profils ne cherchent pas à frapper en « temps de paix », et tentent plutôt d’utiliser ces failles à des fins de renseignement plus que d’action. Les coups de main façon Stuxnet sont rares, fort heureusement. Mais que les tensions internationales viennent à se tendre, et les bugs des routeurs pourraient coûter très cher.