Un nouveau rançongiciel IIoT expose les vulnérabilités matérielles de l’industrie

Les cyberattaques se présentent sous de nombreuses formes, qu’il s’agisse d’endommager l’équipement, de voler des informations ou de retenir les utilisateurs contre une rançon. Aujourd’hui, des chercheurs ont mis en évidence une nouvelle attaque IIoT potentielle qui va au-delà du déni de service ou du vol de données et frappe au cœur d’un processus industriel. Que sont les attaques de ransomware, qu’ont démontré les chercheurs et comment menacent-elles les futurs processus industriels ?

Qu’est-ce qu’une attaque de rançongiciel ?

Une attaque de ransomware est une attaque par laquelle un attaquant prend le contrôle d’un système et le détient en rançon contre les propriétaires du système. Par exemple, un attaquant pourrait chiffrer tous les fichiers essentiels au fonctionnement d’une entreprise (tels que les dossiers financiers et IP) et exiger le paiement de clés de chiffrement pour supprimer le chiffrement. Cette menace peut être aggravée en ajoutant une minuterie au générateur de clé de cryptage qui supprimera la clé si aucun paiement n’a été effectué. Si un algorithme de cryptage fort est utilisé, détruire la clé revient à nettoyer toutes les données cryptées.

Un autre exemple d’attaque par rançongiciel serait un attaquant prenant le contrôle d’un site industriel et désactivant complètement tous les équipements. Une simple réinitialisation matérielle peut ne pas permettre aux opérateurs de reprendre le contrôle de leur équipement si le réseau étendu s’étend bien au-delà de l’usine (c’est-à-dire les réseaux distants et d’autres sites industriels). En raison de la nature coûteuse des opérations industrielles, un attaquant n’a qu’à s’asseoir et attendre que le montant demandé par l’attaquant soit inférieur à l’argent perdu à cause des opérations interrompues.

La capacité de lancer des attaques de rançongiciels est accélérée par un certain nombre de facteurs, notamment une connectivité accrue des appareils à Internet, l’introduction de monnaies numériques qui permettent l’anonymat des comptes et la lenteur de la réponse de la communauté des ingénieurs aux besoins de sécurité.

Des chercheurs démontrent une nouvelle attaque de ransomware contre des équipements industriels

Alors que les attaques de rançongiciels contre les appareils grand public font souvent l’objet d’une couverture médiatique, celles contre les appareils commerciaux et industriels passent souvent inaperçues, mais ces attaques sont souvent beaucoup plus rentables et nuisibles pour l’économie. La protection contre ces attaques peut être un défi monumental, étant donné que ces environnements peuvent avoir des milliers d’appareils connectés au réseau provenant de dizaines de fabricants différents. Si un seul de ces appareils présente une vulnérabilité qui donne à l’attaquant un point d’entrée, et à partir de là, il peut lancer une attaque à l’échelle du réseau.

Les chercheurs de Forescout Vedere Labs ont démontré comment leurs recherches antérieures sur les vulnérabilités de la pile TCP/IP peuvent être utilisées pour attaquer directement le cœur des processus industriels. Appelée R4IIoT, la vulnérabilité permet aux attaques par déni de service (DoS) de désactiver les équipements industriels, y compris les automates programmables, les contrôleurs et les capteurs intelligents, ce qui est fondamentalement différent des attaques précédentes qui se concentraient sur les appareils réseau conventionnels, les serveurs et les routeurs. En tant que tel, la réinitialisation de l’équipement ne rétablira pas le contrôle, en particulier pour les réseaux à grande échelle qui couvrent le monde.

Et c’est cette nature globale des processus industriels modernes qui rend cette attaque potentiellement dévastatrice. De nombreux appareils industriels peuvent souvent être situés dans des zones éloignées telles que des pipelines, des navires et des conteneurs qui ne sont pas immédiatement accessibles par les ingénieurs, ce qui permet à une attaque d’avoir plus d’impact. Par exemple, une compagnie pétrolière peut avoir un navire transportant du pétrole qui est initialement ciblé par un attaquant. Si la demande n’est pas satisfaite après plusieurs heures et que le personnel du navire est enfin en mesure de répondre, l’attaquant peut simplement rediriger d’autres équipements qui ne sont pas dotés en personnel à proximité (comme une vanne de contrôle pour un pipeline).

Comment ces attaques menacent-elles les futures infrastructures industrielles ?

Le passage aux appareils compatibles Internet permet aux processus industriels d’être contrôlés de manière centralisée sur un réseau central qui permet le fonctionnement, la maintenance et la réparation à distance. Cette utilisation d’un réseau centralisé permet également aux services intelligents basés sur le cloud d’améliorer les opérations et d’augmenter la productivité (comme l’IA prédictive).

Cependant, l’utilisation d’un réseau mondial central ouvre également aux cybercriminels des réseaux qui étaient auparavant complètement isolés du monde extérieur, et le nombre croissant d’appareils compatibles Internet utilisés sur ces réseaux fournit davantage de vecteurs d’attaque pour un criminel. Puisqu’il suffit d’un seul appareil pour ouvrir un réseau aux abus, les opérateurs de réseaux industriels doivent être plus vigilants que jamais pour assurer la sécurité du réseau.

Le progrès ne peut pas être arrêté et revenir à des processus industriels non connectés avec des contrôleurs directement programmés n’est pas une solution au problème. Mais les ingénieurs responsables des opérations réseau et ceux qui conçoivent et fabriquent des équipements industriels compatibles Internet doivent prendre la sécurité très au sérieux. Dans peu de temps, le monde assistera à une attaque industrielle majeure qui perturbera l’approvisionnement mondial d’une ressource clé (nourriture, acier, pétrole, etc.) qui affectera la vie quotidienne.

Leave a Comment