les étapes des cyberattaques industrielles

Les cyberattaques sont en constante progression : le cabinet PwC révèle une augmentation de 51 % des attaques en 2015. Ces attaques semblent cibler de plus en plus les sites industriels, comme l’indique le bilan 2015 de l’Agence Nationale de Sécurité des Systèmes d’Information.
Sur la base de leur expérience, nos experts détaillent les trois étapes clés pour réaliser une cyberattaque sur un site industriel.

1/ Introduire un virus via le système informatique de l’usine, pour accéder aux réseaux industriels

Pour réaliser une cyberattaque, l’attaquant doit trouver un moyen de s’introduire dans le réseau. Dans l’industrie comme ailleurs, la première technique consiste à se faire ouvrir l’accès par une personne autorisée, bien souvent sans même que cette personne s’en aperçoive. Pour cela, il y a plusieurs possibilités, dont les deux plus courantes :

  • Infecter une clé USB et l’insérer dans une machine reliée au réseau  ;
  • Envoyer un e-mail (potentiellement très ciblé – spear-phishing) accompagné d’une pièce jointe infectée.

Le déclenchement d’une cyberattaque trouve souvent sa source dans un acte “humain” : ouverture d’une pièce jointe, insertion d’un périphérique… Cet acte peut être totalement involontaire – le spear-phishing et le social engineering permettent d’envoyer des e-mails malveillants de façon presque insoupçonnable. Concurrent, sous-traitant, société de services… les menaces qui planent sont variées.
Parmi les attaques les plus emblématiques, notons le cas du virus Stuxnet, malware introduit par une clé USB dans une usine d’enrichissement d’uranium iranienne. Le virus ainsi déployé a provoqué des dégâts immenses sur l’activité d’enrichissement d’uranium de l’Iran.
Une fois introduit dans le système, le virus ou le hacker doit identifier les éléments qu’ils veut cibler.

 

2/ Identifier la cible sur le réseau industriel

Lorsque les attaquants ont réussi à accéder au système d’information d’un site industriel, il leur faut encore trouver les éléments qu’ils souhaitent infecter ou pirater. En effet, ils ne savent que très rarement où se situent les informations de valeur sur le réseau de l’infrastructure qu’ils viennent de pirater. Pour les localiser, le virus va donc lancer des tests de « découverte ». Cela se matérialisera, par exemple, par un envoi en masse de messages à toutes les adresses possibles du réseau, par le biais d’un scan. C’est ce que fait le Cheval de Troie BlackEnergy, malware qui serait à l’origine de l’attaque d’une centrale ukrainienne.
En procédant ainsi, il se propage de façon « horizontale » (d’un poste à l’autre), jusqu’à ce qu’il trouve des données critiques ou des portes vers d’autres systèmes (comme celui du pilotage de la production).
Si ce phénomène n’est pas spécifique à l’industrie, c’est l’utilisation de protocoles utilisés dans l’industrie qui est assez nouveau. BlackEnergy scanne en utilisant des protocoles standards OPC, protocoles qui servent à contrôler les systèmes SCADA.
Les virus ont donc évolué et se sont adaptés au monde industriel et à ses codes, preuve, s’il en fallait, que les sites industriels deviennent la cible privilégiée des actes malveillants.

 

3/ Réaliser une attaque de déni de service (DoS)

L’attaque de déni de service est l’une des formes de cyberattaques les plus redoutées. Elle peut rendre temporairement indisponible les services et/ou ressources qu’une entreprise devrait utiliser et exploiter sans interruption. Lancée contre une centrale électrique, par exemple, une attaque DoS se matérialise par un arrêt de la distribution d’électricité à la population, comme ce fut le cas en Ukraine fin 2015. Pour mener une telle attaque, les hackers procèdent selon les deux étapes que nous avons vu plus tôt. C’est ainsi que le malware peut se propager. Une fois ce réseau atteint, ils « libérent » leur malware et neutralisent ou détériorent tout ou partie du système.

Il est à noter que les attaques DoS touchent particulièrement les services d’accès à Internet, d’e-mails ou les ressources partagées. Dans ce cas, les hackers bombardent littéralement les serveurs de l’entreprise de milliards d’octets, jusqu’à ce qu’ils saturent et s’arrêtent.

Les dégâts causés par une cyberattaque de déni de service peuvent s’avérer très coûteux pour une entreprise. Une telle attaque provoque des dommages au niveau matériel (serveurs à remplacer ou remettre en état, réseau à reprogrammer, etc.) mais aussi au niveau opérationnel et financier (interruption de service, protocole de remise en production, etc.). A ce titre, les DoS sont souvent imprévisibles et très difficiles à contrôler pour les industriels.

 

Les techniques et méthodes des hackers ont évolué pour s’adapter au fonctionnement du monde industriel. Les protocoles ne sont plus inconnus, ce qui témoigne de la vulnérabilité de l’Internet industriel, autrefois univers clos et quasiment inaccessible.
Tout n’est pas négatif : des solutions existent, elles passent souvent par une meilleure connaissance de son propre système, des éléments à protéger et des risques.

Crédit photo : Pixabay / jackmac34