Les installations industrielles sont toujours plus connectées au réseau. Même si elle simplifie les contrôles et la maintenance, une telle situation accroît les risques d’accès indésirable et de manipulations. Après les acteurs étatiques aux visées stratégiques qui, le cas échéant, s’intéressent à ce genre d’installations pour des raisons militaires, la curiosité des experts en sécurité et des pirates amateurs est en éveil. C’est ainsi qu’au 31e congrès du Chaos Computer Club, organisé en décembre 2014, il a été question des systèmes SCADA et des systèmes de contrôle industriels.23 Des simulateurs de systèmes de pilotage comme ceux utilisés dans l’industrie chimique ont été mis au point et permettent aux amateurs de tester leurs aptitudes au cyberpiratage. En outre, des kits (exploit-kit) ont été spécialement programmés pour identifier et exploiter les failles de sécurité des installations industrielles.
Un rapport publié en décembre 2014 par l’Office fédéral allemand de la sécurité dans la technologie de l’information (BSI)24 fait état d’une attaque ciblée survenue outre-Rhin contre une aciérie, qui aurait infligé des dégâts à un haut fourneau. Grâce à un courriel de phishing ciblé (spear phishing) et à des méthodes raffinées d’ingénierie sociale (social engineering), les escrocs auraient accédé au réseau administratif de l’entreprise, d’où ils se seraient glissés par étapes dans les réseaux de production. La défaillance de plusieurs composants ou d’une installation complète a empêché l’arrêt contrôlé d’un haut fourneau, endommageant l’infrastructure. Selon le BSI, non seulement les pirates disposaient de capacités techniques très avancées, mais ils maîtrisaient encore les processus de production et de contrôle industriels. Le rapport du BSI reste factuel et n’émet aucune hypothèse sur les auteurs possibles de l’attaque.
Les auteurs d’actes de pur sabotage sont souvent mus par les mêmes mobiles: tantôt un concurrent cherche à se procurer un avantage compétitif, tantôt un (ancien) collaborateur mécontent veut nuire à son employeur en tirant parti de son savoir d’initié, ou encore des tiers visent à prouver tout ce qu’il est possible de faire. Dans le cas d’espèce, il paraît peu probable qu’un Etat étranger ait voulu saboter la production d’acier allemande. Encore que les stratégies militaires et les scénarios de guerre examinent de plus en plus le potentiel du cybersabotage.
La menace de sabotage s’avère pour les escrocs un intéressant moyen de chantage contre les exploitants d’installations.25 Avec des chances de succès d’autant plus réelles que l’installation est tributaire de ses liens à d’autres réseaux ou systèmes, et qu’il n’est pas possible de la déconnecter sur-le-champ. On peut également imaginer qu’un maliciel soit entré clandestinement et sévisse à un moment donné, indépendamment de la connexion à Internet. En pareil cas, il ne servirait à rien de retirer le système du réseau, puisqu’il faudrait trouver le maliciel et le rendre inoffensif. Ce qui peut être un casse-tête, si le système est d’une grande complexité et faute de savoir précisément où chercher.
Il est important d’étudier l’aspect sécuritaire, avant tout raccordement de systèmes physiques au réseau. Les principaux vecteurs d’attaque des systèmes de contrôle sont le réseau administratif, les médias amovibles et les failles de sécurité des accès à distance. D’où l’utilité de dûment segmenter les réseaux (en séparant hermétiquement du réseau destiné à l’administration les systèmes de contrôle et, si des échanges de données s’avèrent nécessaires, en les contrôlant bien), d’utiliser des périphériques amovibles adéquats et soumis à des contrôles réguliers, ainsi que de sécuriser les accès à distance par des méthodes d’authentification robustes et en cryptant les échanges de données.
