Bruno HÉNON - Automaticien Indépendant Services en automatisme industriel, études, programmation, installation, réglages, sous-traitance

cybersécurité et logiciels de protection en informatique.

Sûreté informatique
 

  Automation > Ressources > Technologie > Sécurité informatique  

  Logiciels libres

Sommaire automatisme industriel  

SÉCURITÉ ET MAINTENANCE EN INFORMATIQUE

Vos systèmes de contrôle sont ils sécurisés ? , Améliorer la sécurité de vos systèmes de contrôle, Observatoires d'incidents de sécurité, Logiciels de sécurité réseaux, Logiciels de sécurité individuels, Logiciels de sécurité pour téléphones mobiles.

Vos Systèmes De Contrôles Sont Ils Bien Sécurisés ?

Les automaticiens sont de plus en plus confrontés aux architectures de communication ouvertes, de par le nombre croissant de pont internet / Ethernet installés et donc de leur ouverture croissante au monde extérieur à l'entreprise. En fait, les chemins pris par l'information numériques deviennent de plus en plus complexes.

Les conséquences en sont qu'il y a de plus en plus de failles de sécurité, et que les réseaux de communication industriels aussi bien que les consoles de programmation et de maintenance deviennent de plus en plus sensibles à la cyber-criminalité.


L'une des preuves les plus convaincantes en est la détection du virus Stuxnet dans les années 2009-2010, mais il semble qu'il était déjà en place depuis des années.

Ce virus a infecté mondialement des dizaines de milliers de systèmes de contrôle industriel d'un modèle répandu. Finalement, une fois introduit dans les systèmes de l'unique société apparemment ciblée ( probablement à partir d'une clé USB ), le virus a attaqué les systèmes de contrôle jusqu'aux automates programmables au travers des interfaces opérateurs ( qui utilisent un système d'exploitation commercial non industriel ), avec l'objectif de casser les machines ciblées, et peut être même de blesser les opérateurs. Il est à noter qu'il a été dit que le réseau industriel du site ciblé n'était connecté ni à Internet, ni à aucun autre réseau extérieur.

Il en résulta que la plupart des milliers de machines visées ont été mises hors de service, peut être toutes. Il aurait fallu plus d'un an pour éradiquer le virus dans l'usine, sans aucune certitude ni aucune garantie quant à sa destruction. La production a été arrêtée pour des années, peut être définitivement.

Il semble que c'est la première fois qu'un tel objectif a été recherché, et selon les experts, des parties du programme de Stuxnet sont très sophistiquées et n'avaient jamais été vues auparavant. Depuis la détection du virus, le fournisseur du système de contrôle concerné délivre un patch de sécurité contre le virus Stuxnet.


L'apparition de Stuxnet a été exceptionnelle, mais la plupart des incidents de sécurité détectés ont couramment pour cause l'objectif de voler des données stratégiques d'une société ( y compris une entreprise industrielle ) en utilisant des défauts dans les logiciels ou des failles dans les systèmes, sans parler des causes d'origine humaine ( faites très attention à tous les équipements USB par exemple ). De plus, il faut garder à l'esprit que beaucoup de ces incidents de vulnérabilité sont détectés sur des systèmes inter-connectés, c'est à dire mettant en œuvre des réseaux numériques.


Autres conséquences, le domaine public devient de plus en plus vulnérable lui aussi ( en particulier dans des domaines aussi stratégiques que la production et le transport de l'énergie, le traitement d'eau, la santé etc ), depuis qu'Internet est de plus en plus utilisé pour relier les systèmes avec les utilisateurs et les services de gestion.

Les grilles « intelligentes » ( smart grids ) programmées dans un futur proche pour gérer la distribution des énergies et de l'eau ne vont pas aider, elle vont même très probablement amplifier le phénomène. Ce sans parler de l'utilisation en croissance exponentielle d'applications informatiques en « nuage » ( cloud ) destinées au grand public ou aux administrations bureaucratiques inconséquentes par exemple. Il est toutefois à noter que certains fournisseurs de solutions industrielles ( mais malheureusement pas tous, loin de là ) font de sérieux efforts pour proposer à leurs clients des solutions ( théoriquement ) robustes.

En pratique, nous n'avons qu'à nous référer aux derniers désastres numériques subis par l'Estonie ( en 2007 et après ) et par la Lituanie ( en 2008 et après ) pour être convaincu de la réalité et du nombre de ces faiblesses, ainsi que de l'importance des conséquences qui peuvent en résulter.


Il ne faut surtout pas oublier qu'une porte - même blindée - est destinée a être ouverte, il s'agit là de sa raison d'être. Cela signifie que l'on doit être bien conscient que lorsqu'on perce un mur pour y installer une porte blindée, on installe tout simplement une porte là où il n'y en avait pas et que de ce fait on ajoute un nouveau chemin d'accès pour pouvoir entrer.

Au moment d'installer un nouveau service numérique, peut être cela vaudrait-il la peine de se poser avant toute chose des question sur le besoin, sur la nécessité et sur l'utilité de ce service ainsi que sur les risques potentiels qu'ils peuvent éventuellement générer, non ? Dans le pire des cas, risquer sa survie économique pour un gadget en vaut-il la peine ?


Subséquemment, il peut être judicieux et utile qu'un automaticien suive l'actualité en ce qui concerne les vulnérabilités informatiques, et qu'il sache protéger ses systèmes de contrôle contre des attaques informatiques. Il peut être tout aussi judicieux et utile qu'un cadre de haut niveau connaisse la vulnérabilité de ses usines, la vulnérabilité de ses fournisseurs et la vulnérabilité de toutes les sociétés qui interagissent numériquement avec son entreprise. Surtout, il un devrait être conscient de l'ensemble des conséquences qu'une attaque informatique pourrait avoir pour l'ensemble de sa compagnie.

Quelle que soit l'entreprise, une des voies qui permette de se faire une idée sur la sécurisation de ses systèmes et sur les risques encourus est de demander à des « pirates blancs » ( white hackers ) et ( ou ) à une agence gouvernementale d'auditer ses systèmes informatiques dans leur totalité, ainsi que tous les services numériques qu'elle produit ou qu'elle consomme.


Une solution possible pour accroître la sécurité de systèmes de contrôle de production serait peut-être d'utiliser le système de contrôle open source Proview qui est associé à un système d'exploitation ouvert. Ce pourrait être une solution pertinente en association avec quelques unes des solutions de sûreté décrites ci-dessous. Et pourquoi ne pourrait on pas utiliser un de ces systèmes d'exploitation basés sur Linux, sur FreeBSD ou autres pour toute une organisation ?

Quelles Solutions Pour Sécuriser Vos Systèmes De Contrôle ?

Il y en a beaucoup, mais pour n'en citer que quelques unes, voici quelques humbles suggestions.


Observatoires d'Alertes De Sécurité Et De Vulnérabilités

Base de données « Open source » des vulnérabilités, Alertes de sécurité des systèmes de contrôle, Articles de presse sur la sécurité des systèmes de contrôle.

MITRE - Une Base De Données Open Source Des Vulnérabilités  

« MITRE » remplace l'observatoire de sécurité numérique open source « OSVDB », qui a arrêté d'archiver les accidents de vulnérabilité à cause du manque de soutien et de contribution de la part des industriels. « OSVDB » répertoriait toutes les vulnérabilités de systèmes de transmission de l'information détectées et signalées depuis le 7 Novembre 1902 ( incidents de piratage de données transmises avec le télégraphe Marconi, transmission sans fil oblige ! ).


Dans tous les cas, bravo et merci à toute l'équipe d'OSVDB pour le travail effectué pendant ce temps.


Vous vous apercevrez que dans les systèmes de production industriels, ce sont souvent les systèmes de supervision SCADA qui sont visés et qui sont particulièrement vulnérables ( ils sont souvent implémentés dans certain système d'exploitation propriétaire grand public ). Ce sont aussi des composants Ethernet ( commutateurs, cartes réseaux ), des logiciels d'analyse de trafic réseau, des automates programmables ( mauvaises implémentation du protocole ) etc.

Vous pouvez effectuer une recherche sur les événements enregistrés dans la base de données. Vous pouvez filtrer cette recherche par les termes que vous souhaitez, en entrant une requête dans le champ de saisie tout en bas de la page ( comme dans le lien du titre de cette section-ci où le mot-clé est « industrie », ce qui permet de lister toutes les vulnérabilités répertoriées dans l'industrie. Vous pouvez aussi saisir une marque ou une référence de matériel par exemple, ou n'importe quel mot qui vous semble pertinent sur un sujet qui vous intéresse ). Vous pouvez également essayer le moteur de recherche de la base de donnée des vulnérabilités, qui fournit des résultats peut-être plus explicites ou qui les affiche d'une manière peut-être plus claire.

https://cve.mitre.org

ICS-CERT - Alertes De Sécurité Des Systèmes De Contrôle  

Le « service de traitement des risques informatiques critiques des systèmes de contrôles industriels » est une agence gouvernementale Nord Américaine qui traite exclusivement de la sécurité informatique des systèmes de contrôle utilisés dans l'industrie, quel que soit le domaine d'application.

Il diffuse une liste d'alertes portant sur les failles critiques ou sensibles détectées dans les systèmes de contrôle industriels ( automates programmables, réseaux numériques de communication, interfaces opérateurs etc ) et en informe les fabricants en leur demandant de mettre en place une correction. Comme vous pourrez le constater, la liste est longue.

L'organisation propose aussi tout un ensemble de documents très intéressants sur les pratiques de sécurité informatique recommandées pour les systèmes de contrôle.

www.cisa.gov

Revue De Presse Sur La Sécurité Des Systèmes De Contrôle  

Logiciels De Sécurité Réseau

Authentification FreeRadius, Tunnel Privé Virtuel, Protocole Open SSL, NMAP;

Free Radius - Serveur d'Authentification  

Ce serveur d'authentification libre et open source est basé sur le protocole d'authentification « Radius ». Il est le seul serveur open source Radius ( 2014 ) à utiliser le protocole EAP ( Protocole d'Authentification Extensible ) et à supporter les serveurs virtuels. Il s'agit du serveur d'authentification le plus utilisé dans le monde.

Ce système a été conçu pour pour gérer et pour contrôler, de manière sûre et en toute sécurité, n'importe quel équipement et n'importe quel utilisateur demandant un accès à un réseau ou demandant un accès à un composant d'un réseau, quelle que soit la technologie utilisée pour transmettre les données.

Cette technologie est utilisée par les fournisseurs d'accès Internet ( FAI ), par les fournisseurs de réseaux de téléphonie cellulaire, par les constructeurs de matériels périphériques Ethernet, et par n'importe qui voulant sécuriser son réseau internet IP, câblé ou sans fil ( avec n'importe quel équipement supportant un client Radius en fait ).

Le serveur est diffusé avec des compilations binaires disponibles pour beaucoup de systèmes d'exploitations, en particulier pour ceux basés sur Unix, Linux et MS Windows. Sinon, n'importe qui peut construire l'application pour le système d'exploitation qu'il souhaite, en compilant le code source.


RADIUS est avant tout un protocole de communication destiné à sécuriser les échanges de données en gérant et en contrôlant les accès. Il est implémenté dans une architecture client-serveur, et nécessite au moins un serveur Radius pour communiquer avec au moins un client Radius.

« FreeRadius » est un système AAA, c'est à dire un système d'authentification, d'autorisation et de gestion de compte. Il supporte Internet, Ethernet et tous les réseaux IP, les réseaux sans fil, les réseaux privés virtuelsVPN ) et cætera. Toutes les données échangées entre un client et un serveur Radius sont cryptées.


L'organisation FREERADIUS fournit toute la documentation souhaitée à partir de son site web qui n'est malheureusement rédigé que dans la seule langue anglaise.

Toutefois, vous pouvez télécharger au format .pdf de la documentation sur FreeRadius et sur le protocole EAP en français ( ) à partir du site d'Aurélien GÉRON ( http://aureliengeron.free.fr ), pour le cas éventuel où vous seriez allergique au parlé grand-breton.

https://freeradius.org

Open VPN, Réseau Privé Virtuel  

Un « tunnel privé virtuel » ( VPN ) agit comme un tunnel sécurisé situé à l'intérieur d'un réseau public. Il transmet des données sécurisées d'un point authentifié à un autre point authentifié en encapsulant des données compressées et cryptées à l'intérieur des trames du réseau public. Le réseau virtuel ( le tunnel privé ) achemine les paquets TCP ( le protocole de contrôle de transmission ) en utilisant les ports UDP ( les ports de données utilisateur ).


« Open VPN » - un projet libre et open source - protège les échanges de données contre les attaques passives et actives, et il est utilisable avec des adresses statiques ou dynamiques, à la fois pour les réseaux étendus ( WAN ) et pour les réseaux locaux ( LAN ). Tout ce qui concerne la sécurité au sein de « Open VPN » est basé sur le protocole Open SSL.


Nous pouvons bénéficier d'Open VPN pour accéder en toute sécurité à des équipements distants :


Pour renforcer la sécurité des communications, « Open VPN » peut ( doit ??? ) être utilisé en conjonction avec un ou plusieurs serveurs d'authentification FreeRadius.

https://openvpn.net

Open SSL  

Cette librairie libre et open source implémente le protocole SSL ( couche de gestion de la sécurité ) et le protocole TLS ( Sécurité de la couche transport ). Elle est utilisée par de très nombreuses applications populaires ( par Open VPN ou par FreeRadius pour n'en citer que quelques unes, ou aussi par le protocole sécurisé « HTTPS » ), et par un nombre très important d'organisations diverses.

www.openssl.org

NMAP - Scanner De Sécurité Réseau  

Ce logiciel de cartographie réseau libre et open source intègre tout un ensemble de programmes conçus pour contrôler et vérifier la sécurité des réseaux numériques de communication basés sur Ethernet, à partir d'un réseau composé d'un hôte unique jusqu'à n'importe quel réseau étendu et en prenant en compte les transmissions de données sans fil. Il scrute tous les hôtes actifs et tous les ports TCP et UDP disponibles dans un réseau IP, puis il vérifie avec plusieurs techniques différentes s'il est facile de s'y introduire, et le cas échéant, où se situent les failles éventuelles.

« NMAP » est destiné aux administrateurs réseau, et peut être associé à d'autres outils comme « ZenMap », « Ndiff » ou « Nping », tous disponibles sur le site web de NMAP.

https://nmap.org/

Logiciels De Protection Contre les Risques En Informatique

Logiciels pare-feux, Logiciels anti-virus, Logiciels anti-espions, Projet TOR.

Logiciels Pare-Feux, Firewalls Et Boucliers Réseaux
Logiciels Anti-Virus
Logiciels Anti-Espions
Projet TOR - l'Anonymat Et La Confidentialité Pour Tous  

Depuis que naviguer sur le web signifie être suivi par les publicistes, par les fournisseurs d'accès internet, par les pirates, par les moteurs de recherches et par encore beaucoup d'autres organisations, un technicien veut peut être se prémunir contre l'analyse de trafic. Ou bien peut être souhaite t'il se connecter à un contrôleur distant pour y effectuer des opérations de maintenance, et il ne souhaite pas prendre le risque d'être suivi par des pirates ou d'être surveillé par certains des concurrents de son employeur ou de son client par exemple.


Le « projet TOR » ( le « routeur en oignon » ) est peut être le bon outil pour empêcher d'être suivi. Il rend un utilisateur anonyme et permet aux données de rester confidentielles en fournissant des outils très utiles.

Le concept de base sur lequel cette solution repose est le fait d'acheminer les requêtes et les réponses du réseau internet au travers de réseaux privés virtuelsVPN ) chaînés successivement et organisés en une architecture en « couche d'oignons », en cachant ou en transformant votre adresse IP, votre localisation et quelques autres informations ( voir la section « à propos de TOR » pour plus d'informations ).

Conçu à l'origine par la marine américaine, le « projet TOR » est maintenant un projet libre et open source très populaire utilisé dans le monde entier, pour la bonne et simple raison qu'en augmenter le nombre de ses utilisateurs en augmente les capacités d'anonymat.


Les équipes de développement de ce projet fournissent plusieurs applications, dont le TOR project bundle ( navigation privée avec le navigateur Firefox ), TORbirdy ( ) ( une application client de courrier privé utilisant Thunderbird ), Tails ( un système d'exploitation très sécurisé basé sur Linux et sur le projet TOR, qui met en œuvre des techniques d'anonymat et de confidentialités très robustes ) et d'autres outils encore ( visiter la section « projets » du site web pour plus d'informations ).

www.torproject.org/fr/

Logiciels De Sécurité Pour Téléphones Mobiles

Sécurisation des téléphones mobiles, Assurer la confidentialité sur les téléphones mobiles.

Avast - Application Libre De Sécurité Pour Les Téléphones Mobiles  

La société Avast diffuse une version libre de son outils de sécurité pour téléphone mobile, destinée aux équipements fonctionnant sous le système d'exploitation Androïd.

Le logiciel « Avast mobile security » vous prémunit contre les virus et autres logiciels mal intentionnés ( oui, oui, quoi qu'on en dise, des logiciels malveillants sont capables d'attaquer le système d'exploitation Linux ), et contre les sites web infectés. Il peut aussi bloquer des numéros de téléphone spécifiques, il peut agir comme un pare-feu si vous avez besoin de cette fonction, et il suit votre téléphone mobile au cas où il aurait été volé ou au cas où vous l'auriez perdu, vous aidant à le récupérer.

www.avast.com/fr-fr/

Orbot - Anonymat Et Confidentialité Pour Les Téléphones Mobiles  

Ce projet libre et open source repose sur le projet TOR et en fournit les mêmes fonctionnalités. Le système a été spécialement conçu et adapté pour fonctionner avec les téléphones mobiles utilisant le système d'exploitation Android.

https://guardianproject.info/

Partager cette page :

 


© www.bh-automation.com