J’avais déjà souligné dans ce blog les dangers des « malware » ciblant les infrastructures industrielles. Et cela fait effectivement froid dans le dos : on imagine ainsi des centrales nucléaires attaquées ou sous le contrôle à distance de groupes terroristes. Ou des installations critiques de production infectées par un virus provoquant un emballement des machines – se rappeler à ce sujet l’effet dévastateur du virus STUXNET sur les centrifugeuses iraniennes d’enrichissement d’uranium… Or dans notre société hyperconnectée, la menace d’une attaque de type malware sur une infrastructure industrielle est hélas bien d’actualité.
On connaissait ainsi les malwares CRASHOVERRIDE ou encore INDUSTROYER qui ont été employés par des hackers en 2016 pour attaquer une sous-station électrique en Ukraine, près de Kiev, ce qui a provoqué une importante coupure d’électricité. Mais généralement, les cas documentés sont rares et les industriels sont réticents à donner des informations précises sur l’effet de ces attaques. C’est pourquoi l’histoire de TRITON (ou TRISIS) est particulièrement intéressante.
A la dernière « S4 security conference » qui s’est tenue à Miami entre le 16 et le 18 janvier dernier, des ingénieurs de Schneider Electric ont ainsi publiquement rendu compte d’une attaque par malware sur leurs infrastructures, à l’aide d’un logiciel appelé TRITON.
TRITON (également connu sous le nom de TRISIS, donc), est un malware spécifiquement conçu pour s’attaquer aux infrastructures industrielles du groupe Schneider. C’est donc une arme de précision, conçue pour s’attaquer aux produits TRICONEX développés par cet industriel particulier. Ces composants, appelés Safety Instrument Systems (SIS), sont conçus pour surveiller le fonctionnement des installations, et, le cas échéant, déclencher des alertes ou même des coupures des infrastructures menacées, en l’occurrence des centrales nucléaires ou des installations pétrolières ou gazières. Les produits TRICONEX sont dits « fail-safe », car en cas de problème, ils permettent de stopper de manière sûre les installations concernées (et, par effet de cascade, tous les autres équipements qui en dépendent).
TRITON cible le code caractéristique des équipements TRICONEX, afin de s’y connecter et d’y injecter de nouvelles instructions, avec en toile de fond la possibilité que ces instructions provoquent un « crash » de l’équipement. Le souci : un équipement TRICONEX est un « filet de sécurité » pour les installations industrielles. Un crash d’un tel équipement est donc potentiellement gravissime et pourrait susciter un emballement des installations, une explosion, une fuite d’aérosols dans l’environnement ou encore une marée noire.
A la conférence S4, les ingénieurs de Schneider ont (et c’est une première) révélé leur analyse complète de ce malware et des attaques qui ont déjà été tentées. Tout commence par une faille de sécurité dans l’OS TRICON (sans commentaire…) des produits TRICONEX. Certes des anciennes versions, mais une faille néanmoins. Le malware attaque les équipements concernés en conduisant une véritable analyse de vulnérabilité du système. Le but? Installer (et ceci c’est nouveau) un “cheval de Troie” de type RAT (Remote Access Trojan), en gros un moyen de pouvoir injecter à distance des instructions malveillantes dans le système. C’est la première fois qu’un tel système emploie ce degré de sophistication en ciblant expressément une installation industrielle, ce qui pose d’ailleurs la question de savoir si de tels chevaux de Troie sont déjà positionnés dans des systèmes opérationnels – avec plus de 18 000 équipements TRICONEX déployés, la question est loin d’être anodine.
Dans le cas de l’attaque documentée par Schneider, le malware a été identifié sur une station de travail dont la fonction était de programmer à distance les systèmes TRICONEX, au travers d’un logiciel baptisé Trilog. Le code de TRITON a été conçu de telle manière à pouvoir se substituer à Trilog, afin de dialoguer directement avec les systèmes TRICONEX et modifier leur logique de contrôle. C’est donc bien l’infection de la station de contrôle (et non de l’équipement lui-même) qui a permis au malware de cibler les équipements.
Alors certes, il faut nuancer le propos : dans le cas de TRITON, l’attaque est très complexe et nécessite de connaître le processus industriel visé, la logique de contrôle TRICONEX dépendant de la nature du processus surveillé. Il faut donc connaître ce processus ainsi que l’installation industrielle elle-même pour mener à bien l’attaque, des compétences évidemment rares.
Cette histoire souligne donc la réalité de la vulnérabilité des installations de contrôle industriel. Les équipements industriels doivent être considérés comme des systèmes complexes, connectés en permanence, et formant, suivant la formulation d’Aristote, un « tout qui représente plus que la somme de ses parties ». Leur vulnérabilité peut avoir des conséquences rapides, lourdes et surtout imprévisibles. Cette hyperconnectivité ne doit pas être considérée comme un phénomène anodin, ou une simple tendance de société, car ce qui se joue aujourd’hui, c’est finalement l’inéluctable intrication des mondes physique et virtuel.
Comme le montre le cas de TRITON, un malware informatique peut engendrer des conséquences physiques réelles et dévastatrices dans la « vraie vie » – saluons d’ailleurs la transparence de Schneider Electric, plutôt rare dans l’industrie. L’hyperconnectivité engendre donc l’hyper-vulnérabilité. Partant, considérer la menace potentiellement hébergée dans la dimension cyber devient une impérieuse nécessité : tout équipement futur porte en lui les graines de sa propre vulnérabilité.
Alors qu’un ordinateur grand public reçoit une mise à jour corrective par semaine afin d’éviter toute exploitation d’une faille potentiellement exploitable, il ne peut en être de même d’un équipement industriel (ou même d’un équipement militaire). Il est donc indispensable de penser en amont des mécanismes de sécurité de l’information intrinsèques, capables d’évoluer au gré du cycle de vie des équipements, et permettant une résilience indispensable.
VMF 214 - le blog 