hacking industriel
Imaginez que quelqu’un éteigne tous les feux de circulation de la ville de New York à quatre heures de l’après-midi.
Cette idée me trotte dans la tête depuis que Ryan Naraine l’a mentionnée lors d’une table ronde sur la sécurité des villes intelligentes à la conférence Black Hat.
Bien que la conversation ait principalement eu lieu entre quelques chercheurs très techniques, l’idée de l’arrêt général des feux de circulation dans l’une des villes les plus animées au monde ne me sort pas de la tête. De nos jours, presque tout est connecté en ligne : nos téléphones, notre télévision, notre montre, notre bracelet fitness… et peut-être même notre porte d’entrée ! Mais saviez-vous que nos feux de circulation, nos systèmes ferroviaires et notre réseau électrique sont aussi en ligne ?
Imaginer ce qui pourrait arriver si l’un des systèmes industriels vitaux pour notre vie quotidienne était éteint est assez effrayant.
L’électricité ?
Les trains ?
Les feux de circulation ?
Ces trois systèmes pourraient être mortels s’ils étaient utilisés de façon non appropriée. Mais comme souvent, la sécurité des villes intelligentes n’est pas au niveau que l’on pourrait attendre.
Les lourdeurs bureaucratiques et les délais de développement des systèmes font que bien souvent, les réflexions relatives à la sécurité n’ont lieu qu’après coup.
Les conversations à ce sujet dans le monde de la sécurité sont tout aussi ennuyeuses. Elles tournent en rond dans la communauté des experts en sécurité et n’en sortent pas, parce que des individus lambda ne s’en préoccupent absolument pas, même s’ils le devraient.
En ce qui concerne la sécurité, nous ne pensons souvent qu’aux choses que nous utilisons personnellement tous les jours : les ordinateurs, les appareils mobiles, les bracelets fitness, etc. Mais ces éléments, bien qu’ils puissent sembler essentiels, représentent un luxe et non des nécessités quotidiennes. C’est vraiment gênant quand ils sont piratés, mais vous n’allez pas, pour ainsi dire, en mourir.
Hacking electricity, water, and food https://t.co/puKzqEPXTa #ICS pic.twitter.com/L4ibbptbXM
— Kaspersky Lab (@kaspersky) July 15, 2016
Pendant notre AMA il y a quelques semaines, quelqu’un a demandé : Je me demandais si vous aviez des prédictions quant à la date où nous verrons les premières victimes massives ou peut-être des décès dus à des piratages d’ICS [systèmes de contrôle industriels] ? Est-ce que c’est possible maintenant ? Suite à l’attaque des aciéries allemandes, au malware BlackEnergy et à l’attaque du contrôle du trafic aérien suédois, j’ai l’impression que quelque chose va se passer, mais que ce n’est pas encore pour demain.
Brian Bartholomew a répondu : C’est une excellente question, qui est difficile pour les experts. À mon avis, ce n’est qu’une question de temps avant que quelqu’un ne décide de franchir le pas et de faire des victimes. Si l’on pense à tous les systèmes critiques encore non sécurisés et vulnérables aux attaques, il suffit d’une personne mal intentionnée qui ait une compréhension générale du fonctionnement des ICS pour que des dommages massifs soient infligés.
C’est pour cela que la sécurisation des ICS devrait être le sujet de préoccupation numéro nº1 des décideurs politiques et des experts dans ce domaine actuellement. Nous avons besoin de plus de personnes comme vous qui posent ces questions difficiles aux personnes appropriées. En ce qui concerne ceux qui s’en chargent… bien, je me répète, mais personne ne le fait « bien ». Bien, ce n’est pas assez. Il faut que le système soit impénétrable et actuellement, ce n’est pas le cas. Ce n’est plus une fantaisie à présent. Des attaques ont déjà eu lieu, et cela ne fera qu’empirer.
Black Hat and DEF CON: Hacking a chemical plant – https://t.co/KSnCTtLt5U
— Kaspersky Lab (@kaspersky) August 19, 2015
Vitaly Kamluk a répondu : « Honnêtement, je préfère ne pas y penser. La dernière fois que j’ai réfléchi à la possibilité qu’un malware traverse la barrière entre le monde virtuel et le monde physique pour détruire un objet physique, c’était un mois avant Stuxnet. Je me rappelle avoir pensé : « Pourquoi est-ce que ça arrive aussi tôt ? ». Je ressens la même sensation étrange à chaque fois que j’entends parler de désastres soudains comme les crashs d’avions, les trains qui déraillent, etc. »
Un chercheur en sécurité connu sous le nom d’halvarflake a déclaré cette année, selon mes souvenirs : « Vous pouvez posséder et détenir des objets physiques. Les systèmes informatiques ont une dimension supplémentaire, celle du contrôle : vous pouvez posséder un ordinateur, mais avec la conception des systèmes actuels, vous ne serez jamais sûr d’en avoir le contrôle.
C’est ce qui m’empêche de dormir la nuit, parce que cette illusion de contrôle que nous avons au sujet de nos systèmes informatiques ouvre des possibilités infinies pour créer des tragédies par des personnes utilisant leur pouvoir sur d’autres. »
Alors, que pouvons-nous faire au sujet de ce problème inquiétant ?
Pour commencer, en tant que citoyens du monde, nous pouvons et devons faire attention à ce que nos représentants élus font pour notre sécurité.
Before #Stuxnet, there was little thought about proactively securing industrial facilities https://t.co/2r3pXlbf7Z pic.twitter.com/vvj9ChCHAb
— Kaspersky Lab (@kaspersky) November 18, 2014
L’éducation et la prise de conscience sont d’une importance vitale. Cette conversation doit aller au-delà du monde de la sécurité et faire les unes des informations. Un piratage de ces systèmes très sensibles ne pourrait être que désastreux. C’est vraiment une chose sur laquelle on devrait se concentrer plus que sur les scandales des célébrités ou les piratages des sites de rencontre.
