FireEye, spécialiste de la sécurité réseau basée sur
l’intelligence, annonce aujourd’hui avoir identifié six faiblesses majeures que
des individus mal intentionnés peuvent utiliser pour saboter le fonctionnement
d’installations industrielles.
Lorsqu’un protocole ICS n’est pas authentifié, n’importe
quel ordinateur sur le réseau peut envoyer des commandes qui altèrent les
processus industriels. Ceci peut mener à des processus incorrects, endommageant
des biens, détruisant des équipements, blessant du personnel ou dégradant
l’environnement.
Les systèmes de contrôle peuvent être opérationnels depuis
des décennies. Ils peuvent fonctionner de façon trop simpliste ou ne pas
disposer de la puissance de traitement et de la capacité mémoire nécessaires
pour gérer les menaces allant de pair avec les technologies d’aujourd’hui.
Les faiblesses en matière d’authentification des
utilisateurs dans les systèmes de contrôle traditionnels comprennent souvent
des mots de passe statiques préprogrammés, des mots de passe faciles à craquer,
des mots de passe stockés dans des formats facilement récupérables et des mots
de passe envoyés en clair. Un attaquant qui obtient ces mots de passe peut
souvent interagir à sa guise avec les processus sous contrôle.
L’absence de recours aux signatures numériques permet aux
attaquants d’abuser les utilisateurs, qui installent à leur insu des logiciels
qui ne proviennent pas de leur fournisseur légitime. Elle permet aussi aux
attaquants de remplacer des fichiers légitimes par des fichiers malicieux.
Beaucoup de systèmes industriels fonctionnent souvent sous
des systèmes d’exploitation Windows non maintenu à jour, ce qui les expose à
des vulnérabilités par ailleurs, connues.
Enfin, beaucoup de fournisseurs de systèmes de contrôle
industriels peuvent ne pas connaître parfaitement les composants utilisés par des
tiers, ce qui rend difficile pour eux d’informer leurs propres usagers des
vulnérabilités sous-jacentes. Des assaillants au courant de ce manque
d’information peuvent cibler un logiciel que l’industriel n’a même pas
conscience d’utiliser.
« Une compréhension
claire des faiblesses communes aux environnements industriels aide les
dirigeants et les responsables informatiques à aborder le sujet de la sécurité
en toute connaissance de cause, à se poser les bonnes questions, et à investir
à bon escient », a déclaré Sean McBride, Attack Synthesis Lead Analyst
chez FireEye.