S’agissant de délinquance
informatique, 2018 a été
marquée par les fuites de
données personnelles à
répétitions sur les réseaux
sociaux et les attaques ciblant
certains métiers ainsi que les
systèmes industriels. Plus
largement, c’est la notion même
de confiance qui est chahutée
alors même que l’économie
mondiale est désormais
largement sous la coupe du
numérique.
Pour la quinzième fois, le Clusif son panorama annuel de la cybercriminalité mondiale, rappelant 1 livre
les événements marquants, constatant les
évolutions dans les pratiques criminelles et
dégageant les tendances dans l’exposition
des systèmes aux intrusions.
L’année 2018 n’a pas été avare en
annonces retentissantes de fuites de
données, confirmant une tendance qui se
dessine depuis déjà plusieurs années. Les
réseaux sociaux ont été particulièrement
visés par les hackers et tout
particulièrement, le premier d’entre eux :
Facebook qui compte 2,27 milliards de
comptes actifs. Cette célébrité a valu à
Mark Zuckerberg, son dirigeant-fondateur,
d’être auditionné par les commissions du
commerce et de la magistrature du Sénat
des Etats-Unis.
On pourrait penser que rien n’est plus
éloigné des préoccupations des
professionnels qui œuvrent à la
construction d’un Internet industriel des
objets (IIoT) que les pratiques
contestables de Facebook en matière de
protection des données personnelles.
Internet reste pourtant le plus
gigantesque ensemble de ressources
interdépendantes existant actuellement.
En outre, si les sanctions pleuvent contre
les entreprises dont les mauvaises
pratiques sont épinglées, force est de
reconnaître que les mastodontes que sont les GAFAM 2 utilisent tous les
expédients à leur portée pour échapper à
leurs obligations, quitte à contester
l’évidence en mobilisant des légions
d’avocats.
Pourtant, tout manquement aux règles
élémentaires de la sécurité et de la protection des données, fait peser une
menace sur l’ensemble de la
cybercommunauté.
DES ATTAQUES AU
CŒUR DES MÉTIERS
Pour son étude Panocrim menée en 2018,
le Clusif a étudié les attaques ciblant
notamment le transport maritime et le
transport aérien avec à chaque fois des
préjudices qui portent atteinte à des
intérêts économiques mais aussi, à
l’écologie, voire même, à la vie humaine.
Trois installations portuaires d’importance
situées en Chine, en Espagne et aux
Etats-Unis ont été la cible d’attaques au
moyen de rançongiciels 3 qui ont
heureusement été déjouées grâce
notamment, aux procédures de
confinement des systèmes impactés et de
reprise d’activité mises en place
préventivement. Si elles avaient atteint
leur but, ces attaques auraient pu
désorganiser le fonctionnement de la
cible, poussant les navires marchands à
rechercher une nouvelle destination.
Les navires eux-mêmes, sont aujourd’hui
largement équipés de systèmes
automatisés (propulsion, direction,
détection aérienne et sous-marine,
navigation, pilotage, communication, etc.)
et de réseaux de communication
autorisant leur pilotage centralisé au
travers d’interfaces Scada. Largement
interconnecté via des liaisons satellitaires
pour permettre à la fois, le suivi des
traversées mais aussi, l’échange de
données via Internet, les navires peuvent
aussi être la cible d’attaques malveillantes,
d’autant que leurs systèmes embarqués
n’utilisent que rarement la cryptographie
et l’authentification forte pour sécuriser
leurs accès.
Dans le domaine aérien, les aéroports et
les avions sont largement comparables à
leurs homologues maritimes, à ceci près
que le nombre d’individus transportés est
cette fois, prépondérant. Du côté des
infrastructures, on peut citer les attaques
physiques comme le survol des pistes par
un ou plusieurs drones. Autre menée
nuisible, l’aéroport de Bristol au RoyaumeUni a subi trois jours de blocage des
panneaux d’information des passagers,
contraignant les personnels à déployer
des « paperboard » dans les salles
d’attentes pour indiquer les zones
d’embarquement, les couloirs et les portes
permettant de rejoindre les vols au départ.
Dans un tout autre genre, un chercheur a
démontré qu’il était en mesure d’entrer
depuis le sol, dans les systèmes de
plusieurs Boeing 737 en vol. Cette
information a ensuite été confirmée par le
Département américain de la sécurité
intérieure (DHS 4).
Il est donc heureux que la France, à
l’initiative de la ministre chargée des
transports, Elisabeth Borne, se soit dotée
en avril 2018, d’un Conseil pour la
cybersécurité du transport aérien (CCTA). Il
réunit les instances représentatives de la
puissance publique telles que le Ministère
de l’intérieur et la Direction générale de
l’aviation civile (DGAC) mais aussi des
entreprises privées comme, Airbus, Dassault
Aviation, Safran, Thalès, etc. pour travailler
sur le recensement des risques, les moyens
pouvant être mis en place pour réduire les
risques et créer une législation qui permet
de créer les conditions d’une meilleure
résilience du secteur.
LES OBJETS CONNECTÉS
SUR LA SELLETTE
L’année 2018 a aussi, une nouvelle fois, connu
une croissance des attaques menées contre ou
au travers des objets connectés quel que soit le
secteur industriel considéré.
Notons au passage que l’Europe va mobiliser
2,5 milliards d’euros d’investissements dans
l’intelligence artificielle jusqu’en 2027. En 2019,
l’Union européenne devrait aussi se doter d’une
charte éthique dans le même temps qu’elle
redéfinira son corpus réglementaire afin, à la
fois, d’accroître la sécurité et de protéger les
individus.
Autre initiative réglementaire importante, l’Etat
de Californie dès 2020, imposera aux
concepteurs des objets connectés
d’implémenter des fonctions de sécurité
permettant l’identification et la protection au
cœur de chaque produit. Il s’agit d’une première
tentative de la puissance publique, visant à
imposer la notion de «confidentialité garantie
par conception 5».
SYSTÈMES INDUSTRIELS,
UN CAP FRANCHI
L’année 2018 a montré que six grandes
tendances se dessinent quant à l’exposition des
systèmes industriels aux cyberattaques. La
première de ces dernières est positive puisque
les fabricants mettent désormais de la
documentation à disposition des utilisateurs
pour expliciter les mécanismes de
fonctionnement de leurs systèmes.
Autre tendance positive, l’automatisation des
inspections dans les systèmes industriels
progresse en fiabilité et en efficacité, ce qui
permet de révéler les failles de sécurité ou les
systèmes dormants qui peuvent représenter
une menace non identifiée.
La troisième tendance confirme que des trains
de données peuvent être réutilisés pour
mener des attaques ciblées.
Le quatrième point paraîtra évident à tous :
les systèmes industriels sont de plus en plus
fréquemment interconnectés avec les réseaux
informatiques et donc, avec Internet, en
raison de la digitalisation galopante qui
impacte tous les secteurs d’activité, partout
dans le monde.
Cinquième tendance marquante, les
cybercriminels sont lancés dans une course
vers le bas niveau. Ils tentent d’aller au plus
près du terrain, à l’intérieur même des
équipements opérationnels.
Dernier point, chaque fois qu’un système
industriel est compromis, l’opération fait
systématiquement l’objet d’une
communication à la fois sur les réseaux
sociaux mais aussi, dans la presse pour nuire à
la réputation de la victime.
Ce n’est pas une nouveauté, la cybersécurité
des systèmes industriels est un enjeu politique
de portée planétaire. Dès 2014, avec la Loi de
programmation militaire (LPM), la France s’est
dotée d’un arsenal juridique. Au dernier Forum
de Davos, les cyberattaques sur les systèmes
industriels apparaissent à la troisième place
après les catastrophes naturelle et le
réchauffement climatique, au chapitre des
vulnérabilités. De plus, les attaques les plus
graves ou les plus dévastatrices sur les
systèmes industriels, procèdent presque
exclusivement d’initiatives étatiques.
On peut noter que le secteur de l’énergie est
plus spécialement ciblé depuis 2015, avec une
première attaque réussie en Ukraine via le
programme malveillant, BlackEnergy. Il est
désormais remplacé par une nouvelle menace
appelée GreyEnergy.
Mais ce sont surtout, les attaques de proche
en proche via un framework tel que Triton
qui se révèlent les plus pernicieuses. Un
hacker va exploiter des outils
d’hameçonnage pour s’aménager un accès
au réseau informatique de la cible, puis il va
progresser de proche en proche, cherchant
à accroître ses privilèges jusqu’à pénétrer la
zone démilitarisée (DMZ) située sur le
réseau industriel (OT). L’utilisation du
protocole RDP est une solution courante
pour prendre la main sur des ordinateurs via
le bureau à distance et y installer le
framework. La prise en main d’un contrôleur
ou d’un automate peut alors s’opérer au
moyen d’une faille de sécurité inconnue ou
non traitée, de codes d’accès génériques,
etc.
Arrivé ainsi au plus près de la machine, le
hacker est presque assuré d’avoir contourné
les sécurités mises en place, tout en
maîtrisant les dégâts occasionnés.
Pour la première fois dans l’histoire de
l’informatique et des réseaux de
communication, la digitalisation qui conduit
à la 4e révolution industrielle, apporte aux
cybercriminels, la possibilité de faire des
dégâts dans le monde réel. Cette
perspective suscite des vocations aux
quatre coins du Globe, ce qui doit inciter
tous les managers de systèmes de
production à placer la cyber protection au
cœur de leurs préoccupations.