Cybersécurité : les principales leçons de la cyberattaque Triton

Cybersécurité : les principales leçons de la cyberattaque Triton

Sécurité : Triton est une forme particulièrement dangereuse de malware ciblant les systèmes industriels et provoquant des dommages physiques; apprendre ces leçons pourrait permettre aux entreprises de mieux se protéger.

 

L’attaque malveillante de Triton n’était pas la première à cibler les réseaux d’un site industriel. En revanche, c’est la première fois qu’un malware conçu pour attaquer des systèmes de sureté était détecté dans la nature.

Le logiciel malveillant a été développé pour manipuler les systèmes de contrôle Triconex Safety Instrumented System (SIS) de Schneider Electric – des systèmes d’arrêt d’urgence – et a été découvert sur le réseau d’un opérateur d’infrastructures critiques au Moyen-Orient.

Arrêter la production dans une usine

La campagne malveillante était extrêmement furtive et n’a été découverte que parce que les attaquants ont commis une erreur et déclenché le système de sécurité, déclenchant l’arrêt de l’usine. Les conséquences auraient pu être bien pires.

"Nous pouvons supposer que leur mission avait des visées physiques. Ils voulaient soit arrêter la production dans cette usine, soit empêcher le fonctionnement, soit causer des dommages physiques" explique Dan Caban, responsable de l’intervention sur incident pour FireEye’s Mandiant.

S’exprimant lors d’une conférence consacrée à Triton lors du CYBERUK 19 du National Cyber Security Centre, Caban estime que la découverte du malware était une chance et constitue une alerte sur les risques de voir des attaques provoquer l’altération ou l’endommagement de systèmes physiques.

"Nous avons eu beaucoup de chance que cet accident se produise, il a permis un début de prise de conscience à l’égard des conséquences physiques d’opérations avec pour origine la cybersécurité – c’est ainsi que cette enquête a été lancée et maintenant, tant de choses sont devenues publiques" souligne l’expert.

Après la compromission initiale, le logiciel malveillant a pu utiliser des techniques telles que la collecte d’informations d’identification et se déplacer sur le réseau pour atteindre les contrôleurs SIS.

Cependant, Triton n’a pu atteindre son objectif qu’en raison d’un certain laxisme en matière de sécurité dans l’ensemble de l’installation : les contrôleurs de sécurité auraient dû être déconnectés du réseau, mais étaient connectés à des systèmes opérationnels reliés à Internet, permettant aux pirates d’y avoir accès.

Des réseaux étanches pour contenir la menace

D’autres défaillances – comme le fait de laisser une clé à l’intérieur d’une machine – ont fourni aux attaquants un accès qu’ils n’auraient jamais dû obtenir sans se trouver physiquement à l’intérieur de l’installation.

Si le logiciel malveillant peut endommager les vannes, les commutateurs et les capteurs dans un environnement industriel, la menace peut être contrée par la mise en œuvre de techniques de cybersécurité relativement simples qui rendent les circulations entre systèmes presque impossibles.

"La ségrégation du réseau peut vous aider à éviter cela. Vous devriez les séparer au plan logique, mais aussi en fonction de leur criticité et en suivant les meilleures pratiques de l’industrie et les normes industrielles" précise Caban. "Vous devriez aussi envisager des passerelles directionnelles pour qu’il ne soit pas possible de se déplacer dans certaines directions."

Les organisations peuvent également faire un pas dans cette direction en s’assurant de s’appuyer sur une bonne gestion de la cybersécurité et de bien informer le personnel à tous les niveaux – et les bons réflexes à adopter face à un acte de malveillance.

"Dans un contexte cyber, il est absolument essentiel d’avoir une gouvernance, un leadership au plus haut niveau. Sans une bonne gouvernance au sein de votre organisation, vous êtes probablement en train de vous préparer à l’échec" considère Victor Lough, responsable des activités de Schneider Electric au Royaume-Uni.

Sécurité physique connectée à la cybersécurité

"Pour la cybersécurité, vous devez tenir compte de la sécurité physique parce que vous envisagez des systèmes cinétiques. D’un autre côté, la sécurité physique doit toujours tenir compte de la cybersécurité, de sorte qu’il s’agit des deux côtés de la même médaille – sans sécurité, nous n’avons aucune sûreté" ajoute-t-il.

Il fut un temps où la sécurité des systèmes numériques et la sécurité des systèmes physiques auraient pu être considérées séparément, mais plus maintenant : dans de nombreux cas, elles ne font plus qu’une.

Triton ciblait les infrastructures critiques au Moyen-Orient, mais les organisations de tous les secteurs, où qu’elles se trouvent dans le monde, peuvent tirer des leçons de cet incident.

"Si vous sortez cela du contexte des systèmes de sûreté, vous pouvez les appliquer presque toutes à n’importe quel système d’entreprise. Il s’agit du même genre de contrôles que ceux que nous attendons de toute entreprise pour assurer sa cybersécurité" explique le Dr Ian Levy, directeur technique du NCSC.

Le groupe de pirates à l’origine de Triton – suspecté de liens avec la Russie – reste actif, les chercheurs de FireEye ayant récemment dévoilé une nouvelle campagne ciblant une nouvelle infrastructure critique.

source : ZDNet France May 3, 2019 at 10:32PM