Industrie 4.0

Vous serez piratés ! Le risque informatique industriel

Le sujet du piratage est sur toutes les langues en ce moment. Et pour cause ! Nos usines et nos machines sont de plus en plus connectées ! De plus en plus complexes ! Fini les systèmes purement analogiques qui ne craignaient qu’un sabotage ! Place au risque informatique industriel.
Par quel bout prendre la problématique ? Êtes vous concerné ? Y a t’il une différence entre un particulier et une entreprise ? Quels sont les risques et comment s’en protéger ?
Nous allons voir ceci dans une série d’articles.
Commençons par un état de l’art sommaire concernant la menace.

Vous serez piraté ! C’est une affirmation difficile à entendre et qui se vérifie pourtant : ! C’est un peu comme la grippe. Avec ou sans vaccin vous l’attraperez potentiellement tôt ou tard. Par contre avec un vaccin, ses effets seront grandement diminués voire négligeables !
Alors voyons les vaccins contre les attaques informatiques.

Qu’est ce que le risque

Que vous vous intéressiez à la problématique en tant que particulier ou en tant qu’industriel, elle est sensiblement la même. Seuls les moyens à votre disposition changent, aussi que les dégats si votre système d’information s’écroule.
Nos machines et nos systèmes fonctionnent tous en réseau aujourd’hui, c’est pourquoi un ordinateur compromis compromet l’ensemble du réseau.
Cela signifie que la problématique est à aborder dans son ensemble avec les différents acteur avec lesquels vous êtes connectés. Que ce soit les usines, le siège, mais aussi les fournisseurs ou les clients !

Il faut donc avoir conscience que le risque informatique industriel n’est pas celui de voir un ordinateur planter et de devoir réinstaller, ceci en perdant éventuellement les données dudit ordinateur. Comme cela pourrait être le cas pour un particulier. En effet pour une entreprise c’est le réseau entier qui peut être affecté et détruit. Cela engendrera plusieurs jours d’arrêts de production ou la perte de donnée cruciale comme les données clients par exemple. Si la perte est trop importante à surmonter, une telle situation peut mener au dépôt de bilan.

Cyberattaque : 5 jours d’arrêt pour les usines Fleury Michon

https://bfmbusiness.bfmtv.com/entreprise/cyberattaque-5-jours-d-arret-pour-les-usines-fleury-michon-1673788.html

Un constructeur allemand touché par un ransomware toujours en panne une semaine après

https://www.zdnet.fr/actualites/un-constructeur-allemand-toujours-en-panne-une-semaine-apres-avoir-ete-touche-par-un-ransomware-39892587.htm

Contre quoi se protéger

On utilise souvent le terme de virus informatique afin de décrire le risque qui plane sur les industriels. Mais le type de problématiques peut être très variable.
Prenons par exemple le piratage ayant eu lieu chez Mariott :

Marriott victime d’un piratage massif de données

https://www.lesechos.fr/industrie-services/tourisme-transport/marriott-victime-dun-piratage-massif-de-donnees-182631
Il s’agit d’un vol de données.
En l’état cela n’empêche pas l’entreprise de continuer à fonctionner. Mais cela porte atteinte à son image, ce qui est problématique pour un groupe comme Mariott. Et cela nécessite la correction de la faille. Il n’y a pas de retour en arrière possible, la donnée volée ne peut pas être récupérée.

Rester en veille

Il existe un utilitaire qui vous permet de vérifier à titre individuel si un acteur du net a laissé échapper vos données :
https://haveibeenpwned.com/
Il vous suffit d’entrer votre adresse mail et le système vous indique si elle fait partie d’un lot de donnée volées. Pour information, ce système existe aussi sur le navigateur Mozilla Firefox. En effet le gestionnaire de mots de passes vous indiquera si le domaine (le site web) pour lequel vous enregistrez un identifiant, a été compris.

Ces fuites sont problématiques : des spammeurs peuvent se procurer des listings dans lesquels va figurer votre adresse mail. Généralement les enregistrements de mots de passe ainsi que d’autres détails potentiels figurent dans les bases de données copiées. Or ces mots de passes doivent faire l’objet d’un traitement particulier lors de leur enregistrement ( hashage https://fr.wikipedia.org/wiki/Fonction_de_hachage et salage https://fr.wikipedia.org/wiki/Salage_(cryptographie)) ce que les sites ne font pas forcément. Donc votre mot de passe peut se retrouver dans les mains des pirates. D’où la raison pour laquelle il est important d’utiliser des mots de passes différents pour chaque service web.

Le ransomware

Ensuite vous pouvez faire face à un ransomware ou rançongiciel https://fr.wikipedia.org/wiki/Ran%C3%A7ongiciel
Dans ce cas l’objectif du logiciel n’est pas de vous voler les données, mais de les rendre inaccessibles. Il exige alors de vous une rançon pour vous y donner à nouveau accès. Le logiciel pirate chiffre alors la donnée de vos ordinateurs et serveurs. Vos données sont donc toujours présentes sur les disques, mais vous n’y avez plus accès. Cela bloque complétement votre entreprise. Vous pouvez faire le choix de payer, mais c’est peu conseillé car vous n’avez aucune garantie sur le fait de pouvoir récupérer vos données.
L’autre solution consiste à tenter de déchiffrer les données avec des outils mis à disposition par la communauté.
Vous pouvez identifier le type de rançongiciel utilisé : https://id-ransomware.malwarehunterteam.com/index.php
Et ensuite chercher s’il a été déchiffré : https://www.nomoreransom.org/fr/index.html
Les rançongiciels existants maintenant depuis plusieurs années, il y a eu du travail de fait pour libérer les données.
C’est typiquement le type de virus qui a affecté l’entreprise Pilz citée plus haut.

Sabotage

Un autre type d’attaque plus susceptible de se produire dans le monde du risque informatique industriel est le sabotage ou le vol de donnée sur site.
En effet vos moyens de production étant de plus en plus connectés, il est potentiellement possible de pénétrer un réseau depuis une machine de production présente sur ce réseau. C’est pourquoi vous devez limiter voire de supprimer les ports physiques accessible sur les machines, comme les ports USB ou RJ45 par exemple.

Il est possible pour un attaquant d’empêcher les machines de communiquer entre elles par une attaque que l’on appelle DOS pour Denial of service, attaque par déni de service. Il s’agit d’envoyer à une adresse réseau une quantité très importante de requêtes de manière à ce qu’elle soit incapable de différencier les requêtes légitime des autres, elle est alors incapable de répondre. Cela surcharge ou fait planter la machine. On comprend pourquoi cela peut avoir des répercutions importantes sur une ligne de production. Ces attaques ciblent quotidiennement les sites internet, ils sont par construction plus exposés à ce type d’attaque.

https://www.itforbusiness.fr/plus-de-84-millions-dattaques-ddos-lancees-contre-des-infrastructures-informatiques-34093

Son centre de sécurité, l’ASERT, a repéré en 2019 **8,4 millions d’attaques DDoS**, soit une moyenne de 23 000 attaques DDoS par jour, 16 par minutes !

Mais il est aussi malheureusement possible de limiter la productivité d’une machine par le simple sabotage. Ici comme ailleurs le facteur humain entre en jeu. On aime répéter que le problème se situe entre la chaise et le clavier en informatique. Cela signifie qu’un être humain mal intentionné ou bien simplement mal formé peut être à l’origine d’importants dysfonctionnement s’il a accès aux machines.

La porte d’entrée

Par où ces logiciels malveillants, et autres virus peuvent ils pénétrer dans mon entreprise ?
Nous avons vu que le facteur humain est crucial dans l’établissement d’un stratégie de défense contre les attaques informatiques.
Il est fréquent que ce soit les employés eux même qui fassent pénétrer la menace au sein de l’entreprise.
Voici quelques exemples de comportement à risque :

  • brancher sur un ordinateur de l’entreprise une clef USB trouvée dans la rue “de manière fortuite”
  • ouvrir un mail conçu comme du pishing, du hameçonnage, pouvant contenir une pièce jointe avec un virus (parfois un simple document excel, word, powerpoint, ou vidéo !) ou bien menant à un site web se faisant passer pour un site de confiance
  • l’installation de logiciel non validés par le service informatique
  • la connexion en dehors d’un VPN, sur un WiFi public gratuit, dans un fast food par exemple ou un hotel
  • les mots de passe d’accès aux machines laissés en clair sur le bureau sur un post it
  • l’utilisation d’identifiants partagés entre différentes personnes de l’entreprise
  • etc…

L’attaquant doit disposer d’un vecteur pour faire parvenir la menace jusque dans l’entreprise.
Les portes d’entrées peuvent aussi être les failles logicielles. Les équipements étant connectés au réseau, il est facile de “tester” la présence des machines et de vérifier si elles présentes des failles de sécurités non patchées que l’on peut exploiter pour obtenir le comportement souhaité.
C’est pour cette raison que vous devez effectuer régulièrement les mises à jour de vos logiciels de manière à combler les failles découvertes.

Les entreprises d’édition et de conception de logiciels mettent de plus en plus en place des systèmes de “bug bounty”. Il s’agit d’une récompense, comme à l’époque des chasseurs de tête, sauf que cette fois ci il s’agit de chasser les bugs des applications.
https://korben.info/longform/le-business-du-bug-bounty.html

Nous verrons dans un prochain article les principes de bases de la stratégie pour gérer le risque informatique industriel et se protéger avant que l’on se retrouve dans une situation impossible.

Nous vous conseillons

5 bonnes raisons de choisir IO-Link, un standard de communication innovant !

Frédéric

Top 5 des entreprises qui font l’industrie 4.0

Filipa

Introduction à la machine industrielle numérique. Un guide simple à propos des composants connectés.

Camille

5 raisons d’adopter l’industrie 4.0

Camille

Laisser un commentaire