10 défaillances majeures qui touchent les Scada

Sécurité : Le cabinet Lexsi livre les points clés qui doivent permettre aux industriels de mieux se protéger en matière de sécurité informatique. Des OS obsolètes aux problèmes de mot de passe, le tour de ce qui pose problème aujourd'hui.

Quelles sont les défaillances majeures qui touchent les systèmes industriels ? Le cabinet de conseil Lexsi répond en 10 points afin de prendre la mesure des risques des systèmes SCADA. Un pourcentage d’exposition est livré pour chaque thématique.
Les OS et firmware obsolètes et non mis à jour sont la menace la plus importante, avec 93% d’exposition. Des OS obsolètes tels que Windows XP, Windows 2000 voire NT4 sont encore très présent dans le monde industriel explique Lexsi. D’où des risques de compromissions instantanées des équipements et de rebond de l’exploitation des failles de sécurité sur d’autres périmètres.
Suit la non sécurisation des protocoles couramment utilisés (FTP, Telnet, VNC, SNMP…). Conséquence : le risque de vol de login/mot de passe, des connexion illégitimes aux serveurs, des attaques hors ligne ou encore des dénis de service par modification des configurations réseau… Lexsi recommande sur ce point l’utilisation de protocoles sécurisés tels que SFTP, SSH, SNMPv3 et de durcir la configuration des serveurs VNC. Là aussi le taux d’exposition est de 93%.
En troisième position, on trouve l’absence d’outils de surveillance des systèmes (sondes de détection/prévention d’intrusion) couplé au manque de centralisation et d’analyse des journaux systèmes. Les risques sont l’incapacité à détecter des signaux faibles d’attaques de type APT ou les attaques de force brute. Là encore le taux d’exposition est de 93%.

 

Système de contrôle industriel tel que décrit par Lexsi. Le réseau Scada contrôle et permet l'accès à l'ensemble des sous-systèmes (Crédit : Lexsi)

Quatrième du classement, l’interface utilisateur connectée en permanence, soit via un compte admin, ou une session Windows restée ouverte sur un poste de travail. Lexsi recommande la mise en place d’un timeout de la session sur le logiciel de supervision pour un verrouillage automatique ou encore la connexion à l’applicatif via une smart-card ou token-USB. Le taux d’exposition est ici de 92%.

Manque de veille et absence d'antivirus

En cinquième position, Lexsi dénonce le manque de veille de sécurité, avec un taux d’exposition de 90%. Dans ces conditions, difficile de détecter de nouveaux signaux d’alerte et d’effectuer une bonne remontée des informations. Le risque étant bien sûr de passer totalement à côté de la dimension sécurité dans la conception des projets Scada. Le cabinet propose d’initier une démarche de veille à partir de sources d’information ciblées. Et de citer Différentes sources d’informations sur les failles (CERT-FR, ICS-CERT, SIEMENS ProductCERT) ou encore des blogs et des mailing list tells que scadastrangelove, digital bond,tofino, et scadahacker.com
Arrive ensuite l’absence d’antivirus, avec un taux d’exposition de 90%. Lexsi cite des cas où les antivirus ne sont installés ni sur les serveurs ni sur les postes de travail. Conséquence : identification dans 50% des cas de la présence du vers Conficker sur des postes de supervision industrielle.
Pour finir, Lexsi cite l’interconnexion non sécurisée des systèmes de gestion avec les systèmes industriels (taux d’exposition de 89%), la mauvaise gestion des comptes (usage d’identifiant par défaut, mots de passe trop faibles ou inexistant ,…) avec un taux d’exposition de 87%, l’absence de tests de sécurité (86% de taux d’exposition) et pour finir des plateformes de développement non sécurisées (86% de taux d’exposition).

L’étude réalisée par Lexsi porte sur une durée de 4 ans, et concerne 50 de ses 500 clients sur la base d’un référentiel représentatif et contenant des acteurs du CAC40 ou équivalent.

Sujet: Sécurité

Source.: 

autopsie d'une attaque informatique a Hydro-Québec ,dâtant de 2002.

Ont peut en parler,car la poussière est retombée.

Selon le FBI: des attaques terroristes par Internet ne sont pas imminentes, par Al Quaida!


Les serveurs d'Hydro-Québec auraient été infecté par le virus MyDoom. Y a tu d'autres services publiques qui ont été infecté ? Y parait que rien de grave dans les données deletées, n'ont mit en danger les data confidentiel.

J'travail pas la,mais y paraît que les employés qui ont vu le bug ont tous réagit de la même façon. Voici une representation graphique de l'événement: met ton pointeur sur bugs. http://www.nobodyhere.com/justme/me.here Non,blague a part les serveurs d'hydro-Qc sont très vulnérables aux attaques informatiques.A la tv ont a déja parlé dans un reportage qu'une attaque informatique avec un backdoor qui peut rendre les installations électrique non fonctionnelles ,comme ont a déja fait allusion a la mégapanne de courant aux États-Unies et en Ontario ,dernièrement mais sans le prouver hors de tout doutes raisonnable.

La compagnie Alcan aussi. Ils ont du interrompre leurs services lundi passé je crois._________________Spécialisation : Sécurité informatique & Téléphonie mobile ,de Jonas Boivin T.I.

Ouais,et ça c'est a part les cie qui ont peur de dire qui ont été attaqué évidemment
C'est un fait indéniable que les virus sont de + en + vérulant. Etk MyDoom.G lui est programmé pour attaquer le site Symantec.

Sur la vulnérabilité(Virus) du réseau de communication ou des infrastructures de Hydro-Québec ,j'ai fait une petite recherche la dessus,avec des précisions intéressantes ; ) Selon le rapport secret déclassifié du SCRS sur la mégapanne d'Août 2003(50 millions de personnes affectées) est un exemple des effets d'un attentat terroriste ,car la panne d'un élément important des infrastructures peut entrainer la défaillance des autres et créant un cyberattentat.Plusieurs détails du document n'ont pu être divulgué,car trop délicats pour être rendus publics.Ont dit que les terroristes s'attaquent aux infrastructures physiques surtout et moins du domaine informatique. Mais,la chu pas sûr...........? Aux États-Unies ont a tout expliqué a l'émission Frontline dernièrement. Presque tous les systèmes essentiels des services énergétiques sont contrôlés par les systèmes SCADA (systèmes d’acquisition et de contrôle des données) qui contrôlent les ressources des IE et gèrent la production, la transmission et la distribution de ressources énergétiques, y compris le pétrôle, le gaz naturel et l’électricité. Selon un rapport intitulé Protecting Web-Exposed SCADA Systems publié par l’entreprise de sécurité Internet Stratum8, les systèmes SCADA sont devenus de plus en plus vulnérables au fur et à mesure que l’utilisation du matériel informatique commercial, comme Windows, UNIX, et des applications de tierces parties, dans les systèmes SCADA augmente et que les services publics branchent des systèmes SCADA à leurs réseaux, intranet, Internet et même les réseaux sans fils de leurs organisations. Dans le secteur électrique, l’effet du ver Slammer s’est limité aux FSI par l’entremise desquels les fournisseurs de services exécutent leurs applications Web. Le ver n’a jamais porté atteinte à l’intégrité des unités terminales distantes (UTD) qui, à l’intérieur des systèmes SCADA, communiquent entre une unité terminale maître (UTM) et des appareils mobiles. Un autre exemple:TD communique avec le système SCADA via une liaison type LAN (Local Area Network). Toutes les 15 minutes, et toutes les 24 heures, ou sur demande de l'utilisateur, TD obtient de SCADA des mesures et des événements pré-définis.

Selon Richard Clarke ex-adviseur de la cyber sécurité de la Maison Blanche(Celui qui a osé dire que les Faucons des USA avaient échouer sur ses plans de prévention des attentats du World Trade Center - 911),invité a l'émission Frontline("Cyber War") sur PBS.org en parle, http://www.pbs.org/wgbh/pages/frontline/shows/cyberwar/etc/faqs.html que le système SCADA et des boîtes noires(la ou sont enregistré les donnés) sont basé sur winNT ,et même Win2000 pour la plupart donc très vulnérable aux hackers.Les logiciels qui donne accès au systèmes SCADA sont facilement achetable sur le Web et que les cie d'électricité ne misent pas encore sur la sécurité de leurs systèmes d’acquisition et de contrôle des données(SCADA). Un Hacker a été interviewé et a dit que le scada est facilement pénétrable et même sans y laisser de trace.La grande vulnérabilité de Scada est qu'il n'est pas encrypté et que les usagers ou les intrus n'ont pas a s'autentifier pour y avoir accès. Le gouvernement fédéral américain a réagi à cette menace avec, entre autres, l’élaboration des lignes directrices. http://216.239.41.104/search?q=cache:0rK6AsrX-bIJ:www.ocipep.gc.ca/opsprods/other/IA03-001_f.pdf+SCADA+systems&hl=fr&lr=lang_fr Donc,internet sur les files hautes-tensions d'Hydro-Québec(courants porteurs en ligne-CPL),comme ce que la cie Media Fusion Technology a essayer de faire, oublier ça!


c'est sur win2000 pour la plupart des systèmes scada. Le Hacker interviewé a une entreprise militaire professionnel( d'appellation "Mercenaire",tout comme la cie de la soldate aux USA qui maltraité des soldats Irakiens dernièrement)ce sont des soldats dans le privé ou des Mercenaires.Ce Hacker la a 20 ans d'expérience dans les domaines de la défense,intelligence, information operations, corporate finance and technology development, and consults on critical infrastructure protection, information security and assurance, intelligence, finance, and technology for multinationals and governments. http://www.pbs.org/wgbh/pages/frontline/shows/cyberwar/interviews/hacker.html Dans l'article ci-dessus,il dit que ça prend 2 minutes a pénétrer un système scada et que la principale faille chez Microsoft tout comme Unix c'est le Buffer Overflow. Un PC hacké par un virus(faille) prend 6 mois avant que tout le monde s'en apperçoivent et que le patch soit distribué.Donc ,un PC "Zombie" peut exister aussi dans un système Scada. Voici ce que dit Tom Longstaff du CERT Research Center: What are the special vulnerabilities of SCADA systems? SCADA systems -- Supervisory Control and Data Acquisition Systems -- were primarily designed to be devices that sat off on their own, looked at a particular thing, like a gas pipeline, or something in an oil refinery, or something like that, and simply report information back, originally over a telephone line. Now, the main vulnerabilities of SCADA systems are built from the fact that we've taken something of very limited control, and we have now connected it up to an Internet that is accessible by many other people. So more people have access to the SCADA system than was ever intended to have. Also, to make SCADA systems cost-effective in the future, we no longer build special purpose operating systems for them. We put on standard vendor operating systems, with additional vulnerabilities that are well known. So now we have systems that are well understood, connected to the Internet, but still providing a rather critical function in the element itself. Il dit aussi que le gars qui a un système de chauffage domotique sur réseau sans-fil est aussi vulnérable.Car n'importe qui peut pénétrer dans votre système tout comme un système scada et d'arrêter votre chauffage pour que vos canalisations d'eau pette au frette en pleine hiver,et ce sans que vous puissiez rien faire. La seul carte réseau sans-fil sécuritaire que je connais est celle-ci,mais demande un compte au COMSEC de la NSA pour l'avoir.


La SecNet 11 sur Secure Wireless Local Area (SWLAN) en IEEE 802.11b http://www.govcomm.harris.com/secure-comm/ Un cyber war a été évité a Mountain view en californie a l'été 2001.Selon le FBI ,le site web de la ville de Mountain view a eut des signes d'attaques provenant du Moyen-Orient et de l'Asie du sud.Leur but étaient de pénétrer le système scada et d'avoir des info aussi sur leurs infrastructures comme leurs réseau d'eau,électrique etc ...et même leurs services d'urgence. Voici le lien de l'émission: http://www.pbs.org/wgbh/pages/frontline/shows/cyberwar/


La société d'état Hydro-Qc ,n'est pas assez transparente et crédible ,mettons Oui,Hydro-Qc veut empêcher la diffusion de 2 reportages sur la sécurité des grands barrages depuis les événements du 11 septembre 2001.C’est ce qu’ont apprend dans les journaux;qu’un journaliste de Radio-Canada (SRC) qui a voulu obtenir les réactions du pdg D’Hydro-Qc ,M.André Callé.Mais le reportage n’a pas plu aux responsables des communications de la société d’état qui ont demandé une injonction.Le reportage qui devait être diffusé Lundi le 14 fev. Tentait de savoir si Hydro-Qc a resserré la securité dans ses centrales et barrages depuis le « 911 » .C ‘est probablement l ‘émission ‘’ les grands reportages ‘’ . Ça veut tu dire qui a un problême et que c'est pas juste des virus comme ont n'a déja vu récemment C'est a suivre.............

Le journaliste a pu entré dans LG-2 et Manic 5 sans difficulté, il n'y avait ni camera de surveillance ni agent de sécurité.


BaaaaaaH! C’est pire aux USA ,quand Richard Clarke ex-directeur de la cybersecurité a la Maison Blanche voulait sécurisé les systèmes scada et leurs logiciels correspondants ;il a été évincé da la Maison Blanche par Bush pour être intégré au gigantesque département de la securité du territoire.Comme ont sait, Clarke a ce moment a quitté le gouvernement Bush ,pour continuer sont travail sur la cybersécurité de façon plus efficace et non biaisée.Il a dit aussi que les USA sont en réaction et ne font rien pour éviter une catastrophe.Des exemples Pearl Harbor,la conquête de l’espace par les russes, le « 911 » . Ce serait bien que pour une fois le grand désastre du cyber-espace ne se produirait pas.Qu’en pensez-vous ?


Cette histoire la de porte ouverte des centrales;c'est tu des moyens de pression d'la Police (qui n'ont pas renouvelé leurs contrat)ou c'est les journeaux qui narguent Hydro ,suite aux dernières et aussi aux futures augmentions de tarif Évidemment ça ne cache pas un problême de cyberattaque potentiel ,qui est actuellement occulté par bien des lobbey et du p'tit monde

Chose certaine, lobbying ou pas, il y a des hauts dirigeants chez Hydro qui ne semblent pas faire leur job. Un rapport d'une dizaine d'années traitaient des lacunes en sécurité donc bien avant le 11/09. On semble donc dormir au gaz.... chez Hydro bien assis sur leurs salaires au-dessus de la moyenne.

Je pense que C comme aux USA,ont est du genre a reagir aux evenements Et non les eviter ou les prevenir


Selon le FBI: des attaques terroristes par Internet ne sont pas imminentes, par Al Quaida! http://www2.canoe.com/techno/nouvelles/archives/2005/12/20051208-224038.html Al-Qaïda et d’autres groupes terroristes font usage de moyens informatiques plus sophistiqués mais ils sont toujours incapables de mettre sur pied des attaques Internet susceptibles de mette à mal réseaux énergétiques, aéroports et autres cibles américaines d'importance. Les terroristes ont déja utilisé la technique de la sténographie.Mais peut être que le Hackint (Hacking Intelligence ) leur seraient plus profitable.Mais la aussi les militaires ne sont pas bavards! http://www.wordspy.com/words/hackint.asp