On les appelle ‘malicious insider’ ou ‘evil maid attack’, ces exploits de sécurité mettent les composants de l’IoT et toute la chaine des systèmes de production en danger de l’intérieur, via des agents humains malveillants.
La révélation est presque passée inaperçue, en 2017 une équipe de chercheurs de Georgia Tech a mis au point un ver appelé LogicLocker. Introduit dans une chaine de production, il a permis de transmettre via des modèles d'automates des données incorrectes aux systèmes qui les contrôlent, ce qui a entraîné des conséquences néfastes, mais heureusement expérimentales.
La malveillance industrielle
Imaginons maintenant un employé d'une usine qui fabrique les composants de l’IoT ou qui les intègre dans sa chaine de production, membre malveillant de l’équipe d’atelier, agent humain qui dispose d’un accès physique au processus de production, et qui effectue des activités criminelles visant à perturber, modifier ou endommager le comportement des composants, avec effet immédiat ou différé (bombe logique)…
Cette activité criminelle peut nuire à la fonctionnalité du périphérique ou effectuer une activité imprévue qui crée une violation de sécurité. C’est certes un scénario d’attaque élémentaire, voire trivial, mais à partir du moment où un équipement est fabriqué, il est automatiquement susceptible d’être compromis par un firmware malveillant. Une exposition qui s’élargit dès que l’équipement est exposé à des situations supplémentaires, intégré à un équipement plus large comme livré à son client.
La sécurisation du monde industriel
La sécurisation des systèmes d'infrastructure du monde industriel moderne, qui combine les automates programmables (PLC, ICS, etc.) et les systèmes de commande et de contrôle basés sur le cloud (communément appelés Industrie 4.0), est devenue une préoccupation majeure !
Les entreprises doivent intégrer un parapluie de sécurité qui permet de protéger les opérations des périphériques et de périphérique à périphérique de l'usine. Car les automates modernes sont des ordinateurs sophistiqués connectés au réseau, et ils forment l’épine dorsale de grands sites stratégiques comme de PME.
En théorie, les méthodes de sécurité communes des réseaux industriels – qui reposent sur l’intégration de dispositifs de réseaux dédiés connectés aux jonctions centrales (proches des commutateurs) auxquels ils sont connectés – devraient suffire. Elles consistent à renifler les flux de données entre les automates, entre les automates et le cloud, et entre l’interface utilisateur (HMI) et cloud.
Si une anomalie ou une exception sont détectées, par exemple une demande de mise à jour de microprogramme ou des instructions de modification des paramètres, elle peut être arrêtée en bloquant les paquets suspects et en alertant les administrateurs réseau. Seulement, la force d’une chaine est déterminée par son maillon le plus faible, et toute chaine dispose toujours d’un point faible...
Compromettre de l’intérieur
La base de la cybersécurité des robots industriels repose sur le maintien du réseau industriel réputé sain et de leur environnement de sécurité, régulés par les équipes informatiques, avec des processus de contrôle réguliers. Mais, tant qu’un trafic suspect ne passe pas par les réseaux, et si un nouveau composant est analysé pour être authentifié comme valide (sachant qu’il est assez facile de forger un résultat trompeur), le composant peut créer une vulnérabilité le jour où il est connecté, ou plus tard s’il est programmé pour cela
Une autre menace provient des périphériques personnels ou de la maison. Les produits IoT grand public, smartphones, ordinateurs portables, wearables et montres connectées, jusqu’aux routeurs sans fil (lire « Le routeur, maillon faible de la sécurité des Français »), sont autant de vecteur d’attaque potentiels.
Dans ces cadres, les processus de réparation et de remise à neuf sont comme un terrain fertile pour des activités malveillantes à grande échelle. Lorsqu’un téléphone est déposé dans un centre de réparation, il est très simple pour un technicien malveillant (qui y voit un moyen d’arrondir ses fins de mois) d’y placer des applications furtives voire une ROM personnalisée à la place de l’originale, et ainsi de créer une porte dérobée ou des bombes logiques.
Comment se protéger ?
Il existe de nombreux scénarios dans lesquels un périphérique peut être piraté par un accès physique, qu’il s’agisse d’un automate industriel programmable ou d’un routeur de réseau domestique. Un groupe de chercheurs de l'Université Ben Gourion du Néguev a ainsi montré comment les pièces de rechange pour smartphones, comme les écrans de remplacement, peuvent être utilisés pour attaquer un appareil mobile assez facilement et à peu de frais.
Pour se protéger, au-delà des protections classiques que nous connaissons, l’entreprise doit développer des stratégies de protection pour les composants de mémoire physique, qui est l'un des moyens les plus importants de protéger ces périphériques, car la mémoire conserve la logique du périphérique. Et en complément, elle doit créer un système de gestion de soutien qui permettra ou refusera l'accès logique au composant grâce à une racine de confiance puissante mais flexible.
Image d’entête 971741948 @ iStock a-image
