Notre contribution à la communauté de la sécurité de l'information et des systèmes d'information

A l’occasion des Assises de la sécurité 2016, CONIX vous dévoile son Laboratoire industriel ainsi que son savoir faire dans le domaine. A condition qu’elle n’ait pas été confisquée à l’aéroport, vous aurez la « chance » de pouvoir admirer sur notre stand notre maquette en briques lego® (représentant un mini système industriel) ainsi que la plaquette électrique composée, entre autres, d’un automate (ou PLC – Programmable Logic Controller) récupérant des informations de divers capteurs et envoyant des commandes vers plusieurs actionneurs.

Outre la connotation ludique renvoyée par les briques lego®, le but réel du laboratoire n’est pas d’amuser la galerie (d’accord, peut-être parfois avec des effets démo), mais de démontrer de vraies attaques, potentiellement réalisables sur des systèmes à plus grande échelle.

Inutile de nous le demander, nous ne révélerons pas les technologies utilisées, ni les détails techniques des attaques pour ne pas montrer du doigt un constructeur en particulier. Les raisons à cela sont diverses :

  • Certaines vulnérabilités sont inhérentes à un protocole (CoDeSys v3), utilisé par des constructeurs différents.
  • Certaines vulnérabilités sont liées à un manque d’intégration des bonnes pratiques dans la configuration.
  • Enfin, le but n’est pas de faire un comparatif des constructeurs les moins armés face à la cybersécurité, mais de proposer des solutions à mettre en œuvre dans vos systèmes industriels, quel que soit le constructeur à qui vous faites déjà confiance.

 

 

Attaque présentée n°1 (DoS Web)

  • Source de l’attaque : Service Web HTTP
  • Vulnérabilité : Identifiants constructeurs par défaut (test / test)
  • Conséquences : DoS / Déni de Service
  • Commentaire : La documentation constructeur détaille les moyens de sécurité mis en place pour éviter les attaques DoS via des moyens connus (Metasploit, etc.). En revanche, l’interface web de l’automate permet de réaliser une action de type START / STOP avec un compte de test…
  • Facilité : Très simple
  • Remédiation : Revue des comptes et mots de passes par défaut après installation

Attaque présentée n°2 (DoS Web)

  • Source de l’attaque : Service Web HTTP
  • Vulnérabilité : Cookie de session prédictible
  • Conséquences : DoS / Déni de Service
  • Commentaire : Changer les mots de passe du compte de test pourrait constituer une remédiation efficace à l’attaque n°1. Cependant, le cookie de session donné à l’utilisateur est en fait… un Timestamp correspondant à son heure de connexion. Facilement prédictible ! Beaucoup de services web d’administration contiennent des vulnérabilités de ce type, les développeurs négligeant fréquemment la sécurité de ces interfaces.
  • Facilité : Simple
  • Remédiation : Désactivation des service Web lorsque possible, cloisonnement sinon.

 

Attaque présentée n°3 (Reprogrammation de l’automate)

  • Source de l’attaque : Protocole réseau UDP (CoDeSys v3)
  • Vulnérabilité : Étude du du protocole UDP et détournement des échanges
  • Conséquences : Reprogrammation malveillante de l’automate (incluant DoS)
  • Commentaire : Utiliser un protocole propriétaire est souvent un gage de sécurité, mais souvent à court terme. En effet, bien que les échanges soient incompréhensibles, ils restes lisibles (en clair), donc non aléatoires. Un attaquant, armé de patience, pourra donc rejouer la même action plusieurs fois afin de comprendre les échanges et… de les détourner à ses fins !
  • Facilité : Difficile
  • Remédiation : Sécurisation de l’architecture industrielle et confinement des équipements critiques (IEC-62443 / ISA99)

N’hésitez pas à venir nous visiter sur notre stand pour une démonstration des impacts d’une attaque !

De plus, Assises de la Sécurité obligent : aucun script ne sera lancé, rien de technique, même pas un chouïa de python, RIEN ! A l’exception… d’une clef USB et d’un fichier Word ! En espérant vous alerter sur le fait que ces vulnérabilités grandissantes, parfois dues aux mauvaises configurations utilisateur, sont souvent résultantes d’une méconnaissance des bonnes pratiques, ou de l’éternel : ‘Unsecured by default, Secured on demand‘. La cybersécurité reste donc, encore une fois, entre vos mains !

By | 2017-01-31T17:12:04+00:00 05/10/2016|Conférences, Conix Security, Publications, Technique|