lundi 14 mai 2012

La menace d’un « Pearl Harbor numérique » est-elle crédible ?

Cyberbaston 13/05/2012 à 18h48

La menace d’un « Pearl Harbor numérique » est-elle crédible ?

Martin Untersinger | Journaliste Rue89


Le danger fait frémir les gouvernements : une attaque sur un système informatique industriel, capable de paralyser tout un pays. Le risque existe, mais est limité.

« Pearl Harbor » de Michael Bay (2001)

Et si, suite à une attaque informatique, nous étions privés d’électricité, de téléphone, d’eau ou de chemins de fer ? Et si un virus introduit dans les centrales nucléaires les forçait à s’arrêter, ou pire ?

En informatique, il y a deux grandes familles :

  • celle du grand public, de l’Internet, qui a, en vingt ans, pris une place gigantesque dans nos sociétés et qui se fait régulièrement pirater ou attaquer ;
  • il y a aussi celle, dite « industrielle », qui fait tourner les machines et les usines, nécessaire pour acheminer l’électricité, le téléphone ou faire fonctionner des centrales nucléaires.

Ce sont les attaques contre ces systèmes qui font frémir aux Etats-Unis : on y parle carrément d’un risque de « Pearl Harbor numérique ».

Le précédent Stuxnet

Science fiction ? Il y a en tout cas un précédent : Stuxnet.

Ce virus informatique, découvert en 2010 et surnommé par certains « le virus du siècle », était d’une précision absolue et d’une complexité inouïe :

  • seules certaines centrifugeuses de marque Siemens étaient visées ;
  • 60% des appareils touchés se situaient en Iran ;
  • il lui était possible de simuler le fonctionnement normal des centrifugeuses pour camoufler son intrusion ;
  • il se propageait et se mettait à jour en permanence et sans intervention extérieure.
Stuxnet : anatomie d’un virus (en anglais)

Stuxnet a obligé les autorités iraniennes à remplacer 9 000 centrifugeuses et a retardé la production d’uranium (même si les analyses sur ses effets réels divergent). Il s’agissait en tout cas du premier virus informatique s’en prenant avec autant d’efficacité à des systèmes industriels.

Pour la firme de sécurité informatique Symantec, Stuxnet prouve que les attaques contre les infrastructures critiques « sont possibles, et pas seulement en théorie ou dans les films ». Même analyse du côté de l’ex-directeur de la CIA Michael Hayden :

« Nous sommes entrés dans un nouveau type de conflit dans lequel une arme informatique a été utilisée pour provoquer des destructions physiques. »

Des années qu’on crie au loup

En 2007, déjà, un hacker se vantait d’avoir pénétré dans le réseau d’une centrale nucléaire américaine. Un expert alertait alors :

« Il y a eu beaucoup de discussions à ce sujet dans la communauté des hackers. Généralement, après ce genre de discussions surviennent des catastrophes. »

Mais cinq ans plus tard, la catastrophe annoncée n’a pas eu lieu et Stuxnet fait encore figure d’exception : aucune autre attaque informatique contre des infrastructures industrielles n’a eu autant d’impact. Aux Etats-Unis, il y a bien eu quelques escarmouches :

  • en janvier dernier, on apprenait que le trafic ferroviaire d’une ligne du Nord-Ouest du pays avait été attaqué, occasionnant des retards. Une porte-parole de l’Association des réseaux ferrés américains a ensuite expliqué que la note comportait de nombreuses erreurs et que l’attaque ne visait pas le réseau directement ;
  • en novembre, la presse révélait qu’une pompe dans le système de distribution d’eau d’une ville de l’Illinois avait été purement et simplement détruite par un hacker russe. On apprenait plus tard que la pompe avait subi une simple avarie mécanique et que la piste russe menait à un employé d’un sous-traitant, alors en vacances en Russie, qui avait effectué une simple opération de maintenance.

Bref : beaucoup de bruit pour pas grand-chose.

C’est aussi l’avis de Thomas Rid, universitaire spécialiste de la guerre au King’s College de Londres, pour qui la « cyberguerre » relève avant tout du battage médiatique, et ce pour trois raisons :

  • les quelques exemples d’attaques contre des infrastructures industrielles ont eu peu d’impact ;
  • les évènements présentés comme de véritable cyberattaques sont sujets à caution ;
  • les attaques ayant un vrai impact sont si complexes à mettre en œuvre que le risque est minime.

Des installations d’une « vulnérabilité terrible »

L’informatique industrielle fourmille pourtant de failles exploitables. En début d’année, un expert en sécurité informatique a repéré 10 000 systèmes de contrôle industriel vulnérables et directement connectés à Internet, notamment des stations d’épuration et des réseaux de distribution d’eau.

A la même période, d’autres experts ont publié une liste de six équipements vulnérables et largement utilisés (aussi bien dans des centrales nucléaires que dans les réseaux électriques), ainsi que les moyens de les pirater.

Laurent Heslault, directeur des stratégies de sécurité de Symantec, nous explique que l’informatique industrielle n’a pas été pensée pour un monde connecté :

« Les installations n’ont pas été conçues dans une logique de sécurité. On se retrouve avec des installations d’une vulnérabilité terrible, plus qu’un smartphone par exemple, qui a été conçu en prenant en compte ce critère.

De plus, ces systèmes ont des cycles de vie plus lents que dans l’informatique bureautique. Certaines machines ne sont pas à jour, sans antivirus, sans maintenance. »

Que prévoit la France ?

En France, la prise en compte de la sécurité de l’informatique industrielle progresse :

  • on trouve quelques lignes à ce sujet dans le Livre blanc de la défense de 2008 ;
  • la Direction générale des entreprises (sous l’autorité du ministère de l’Economie) a commencé à alerter les entreprises ;
  • l’Anssi va publier à l’automne des guides relatifs à la sécurité industrielle ;
  • les Arts et métiers de Metz réfléchissent à une formation en sécurité de l’informatique industrielle.

Victor Vuillard, chef du bureau inspection de l’Agence nationale de sécurité des systèmes d’information (Anssi), lors d’un colloque sur la sécurité informatique, pointait également ce déficit de sécurité dans les entreprises industrielles :

« Les audits révèlent que la sécurité physique (protéger le périmètre d’une usine par exemple) obtient de bonnes performances. En revanche, la protection des systèmes d’informations (SI) est une préoccupation récente, voire inexistante. »

Pour Raoul Chiesa, journaliste et chercheur en sécurité informatique à l’Unicri (ONU) :

« Il y a un vrai danger. Les failles sont publiques et n’importe qui peut les exploiter. Même le code source de Stuxnet est en ligne depuis des mois. Tout ça est un cauchemar éveillé. »

Patrick Assailly, responsable de la sécurité informatique à RTE (Réseaux de transport d’électricité) explique qu’il y a une convergence et que les failles bien connues de l’informatique de bureau se retrouvent dans les processus industriels :

« L’informatique industrielle avait une position de forteresse, avec des machines et des protocoles spécifiques. C’est un petit peu moins vrai, les technologies grand public sont de plus en plus présentes : certaines machines sont désormais livrées avec Windows. »

Bon, danger ou pas danger ?

Alors, que croire ? L’histoire récente ou les experts ? Pour Daniel Ventre, chercheur au CNRS et spécialiste des questions de cyberdéfense, il y a deux camps :

« Le risque existe (Stuxnet l’a démontré). Mais tout est ensuite question d’appréciation. Certains penchent pour la vision catastrophiste (possible cyberattaque contre les systèmes critiques, aux conséquences majeures) ; d’autres se montrent plus sceptiques, estimant peu probable une telle catastrophe, en raison de la complexité des systèmes. »

La France, par exemple, a-t-elle déjà fait l’objet d’attaques ? Le lieutenant-colonel Davadie, spécialiste de la sécurité de l’informatique industrielle à la gendarmerie nationale, nous confirme que des attaques ont déjà eu lieu en France :

« Bien sûr, les entreprises atteintes ne le disent pas, cela nuit à leur réputation : plus on est attaqué, plus on passe pour être peu fiable. C’est un cercle vicieux.

De plus, la preuve numérique est difficile à apporter, on ne sait pas toujours à quoi ressemble une attaque. Il faut que les entreprises soient en mesure de faire le lien entre un éventuel problème de production et une attaque informatique. »

Personne ne parle

Impossible d’obtenir un chiffre auprès des interlocuteurs que nous avons sollicités. Cette discrétion s’explique-t-elle par un léger retard, en France, dans la prise en compte de ces risques ?

Même si chez Symantec, on nous assure que non, l’Anssi nous a quand même confessé « avoir peu de personnes en interne » pour répondre à nos interrogations. L’agence cherche actuellement à étoffer ses équipes : deux offres d’emploi pour des spécialistes de l’informatique industrielle ont été publiées, pour des CDD de trois ans.

Ce flou s’explique par la nature même des attaques. Laurent Heslault, de Symantec :

« Attribuer une attaque est très compliqué : certaines traversent plusieurs pays. On peut analyser beaucoup de choses après une attaque, mais cela a ses limites. On peut avoir des machines américaines qui attaquent des machines françaises sans que les Etats-Unis soient impliqués. »

Le lieutenant-colonel Davadie confie lui aussi ne pas « disposer de chiffres fiables » :

« On ne sait classer les attaques ni par leur provenance, ni par leur nature. Les entreprises, parfois, n’osent même pas parler aux autorités. Et quand vous piratez un site web, cela se voit tout de suite, mais quand vous piratez une infrastructure industrielle, les résultats ne sautent pas toujours aux yeux. »

C’est souvent le problème de la sécurité informatique : l’alarmisme des vendeurs d’antivirus est leur fond de commerce, et les victimes ont tout intérêt à se taire.

Aller plus loin

(http://www.rue89.com/2012/05/13/la-menace-dun-pearl-harbor-numerique-est-elle-credible-232030)


Aucun commentaire:

Enregistrer un commentaire