SÉCURITÉ ET MAINTENANCE EN INFORMATIQUE

Les automaticiens sont de plus en plus confrontés aux architectures de communication ouvertes, de par le nombre croissant de pont internet / Ethernet installés et donc de leur ouverture croissante au monde extérieur à l'entreprise. En fait, les chemins pris par l'information numériques deviennent de plus en plus complexes.

Les conséquences en sont qu'il y a de plus en plus de failles de sécurité, et que les réseaux de communication industriels aussi bien que les consoles de programmation et de maintenance deviennent de plus en plus sensibles à la cyber-criminalité.

L'une des preuves les plus convaincantes en est la détection du virus Stuxnet dans les années 2009-2010, mais il semble qu'il était déjà en place depuis des années.

Ce virus a infecté mondialement des dizaines de milliers de systèmes de contrôle industriel d'un modèle répandu. Finalement, une fois introduit dans les systèmes de l'unique société apparemment ciblée ( probablement à partir d'une clé USB ), le virus a attaqué les systèmes de contrôle jusqu'aux automates programmables au travers des interfaces opérateurs ( qui utilisent un système d'exploitation commercial non industriel ), avec l'objectif de casser les machines ciblées, et peut être même de blesser les opérateurs. Il est à noter qu'il a été dit que le réseau industriel du site ciblé n'était connecté ni à Internet, ni à aucun autre réseau extérieur.

Il en résulta que la plupart des milliers de machines visées ont été mises hors de service, peut être toutes. Il aurait fallu plus d'un an pour éradiquer le virus dans l'usine, sans aucune certitude ni aucune garantie quant à sa destruction. La production a été arrêtée pour des années, peut être définitivement.

Il semble que c'est la première fois qu'un tel objectif a été recherché, et selon les experts, des parties du programme de Stuxnet sont très sophistiquées et n'avaient jamais été vues auparavant. Depuis la détection du virus, le fournisseur du système de contrôle concerné délivre un patch de sécurité contre le virus Stuxnet.

L'apparition de Stuxnet a été exceptionnelle, mais la plupart des incidents de sécurité détectés ont couramment pour cause l'objectif de voler des données stratégiques d'une société ( y compris une entreprise industrielle ) en utilisant des défauts dans les logiciels ou des failles dans les systèmes, sans parler des causes d'origine humaine ( faites très attention à tous les équipements USB par exemple ). De plus, il faut garder à l'esprit que beaucoup de ces incidents de vulnérabilité sont détectés sur des systèmes inter-connectés, c'est à dire mettant en œuvre des réseaux numériques.

Autres conséquences, le domaine public devient de plus en plus vulnérable lui aussi ( en particulier dans des domaines aussi stratégiques que la production et le transport de l'énergie, le traitement d'eau, la santé etc ), depuis qu'Internet est de plus en plus utilisé pour relier les systèmes avec les utilisateurs et les services de gestion.

Les grilles « intelligentes » ( smart grids ) programmées dans un futur proche pour gérer la distribution des énergies et de l'eau ne vont pas aider, elle vont même très probablement amplifier le phénomène. Ce sans parler de l'utilisation en croissance exponentielle d'applications informatiques en « nuage » ( cloud ) destinées au grand public ou aux administrations bureaucratiques inconséquentes par exemple. Il est toutefois à noter que certains fournisseurs de solutions industrielles ( mais malheureusement pas tous, loin de là ) font de sérieux efforts pour proposer à leurs clients des solutions ( théoriquement ) robustes.

En pratique, nous n'avons qu'à nous référer aux derniers désastres numériques subis par l'Estonie ( en 2007 et après ) et par la Lituanie ( en 2008 et après ) pour être convaincu de la réalité et du nombre de ces faiblesses, ainsi que de l'importance des conséquences qui peuvent en résulter.

Il ne faut surtout pas oublier qu'une porte - même blindée - est destinée a être ouverte, il s'agit là de sa raison d'être. Cela signifie que l'on doit être bien conscient que lorsqu'on perce un mur pour y installer une porte blindée, on installe tout simplement une porte là où il n'y en avait pas et que de ce fait on ajoute un nouveau chemin d'accès pour pouvoir entrer.

Au moment d'installer un nouveau service numérique, peut être cela vaudrait-il la peine de se poser avant toute chose des question sur le besoin, sur la nécessité et sur l'utilité de ce service ainsi que sur les risques potentiels qu'ils peuvent éventuellement générer, non ? Dans le pire des cas, risquer sa survie économique pour un gadget en vaut-il la peine ?

Subséquemment, il peut être judicieux et utile qu'un automaticien suive l'actualité en ce qui concerne les vulnérabilités informatiques, et qu'il sache protéger ses systèmes de contrôle contre des attaques informatiques. Il peut être tout aussi judicieux et utile qu'un cadre de haut niveau connaisse la vulnérabilité de ses usines, la vulnérabilité de ses fournisseurs et la vulnérabilité de toutes les sociétés qui interagissent numériquement avec son entreprise. Surtout, il un devrait être conscient de l'ensemble des conséquences qu'une attaque informatique pourrait avoir pour l'ensemble de sa compagnie.

Quelle que soit l'entreprise, une des voies qui permette de se faire une idée sur la sécurisation de ses systèmes et sur les risques encourus est de demander à des « pirates blancs » ( white hackers ) et ( ou ) à une agence gouvernementale d'auditer ses systèmes informatiques dans leur totalité, ainsi que tous les services numériques qu'elle produit ou qu'elle consomme.

Une solution possible pour accroître la sécurité de systèmes de contrôle de production serait peut-être d'utiliser le système de contrôle open source Proview qui est associé à un système d'exploitation ouvert. Ce pourrait être une solution pertinente en association avec quelques unes des solutions de sûreté décrites ci-dessous. Et pourquoi ne pourrait on pas utiliser un de ces systèmes d'exploitation basés sur Linux, sur FreeBSD ou autres pour toute une organisation ?

Il y en a beaucoup, mais pour n'en citer que quelques unes, voici quelques humbles suggestions.

• Bien organiser les réseaux en les segmentant logiquement.

  ( Du point de vue de la sécurité, du point de vue des performances et du point de vue des échanges de données ).

• Utiliser des commutateurs réseaux configurables et « gérables ».

  ( Et pourvus d'une fonction de tunnel privé virtuel si vous envisagez de mettre en place cette solution ).

• Éventuellement, isoler chaque service de l'usine en mettant en place un pare-feux matériel pour chacun d'eux.
• Éventuellement, isoler l'accès au système automatisé de la fabrication à l'aide d'un proxy.
• Utiliser un serveur d'authentification du type FreeRadius.
• Mettre en place des tunnels privés virtuels du type Open VPN.
• Faire très attention aux équipements USB, et supprimer physiquement les ports USB autant que faire se peut.
• Filtrer et surveiller les accès aux systèmes vis à vis d'intervenants extérieurs ( et même en interne ).
• Utiliser des systèmes de contrôles sûrs et sécurisés, ce qui jusqu'à présent n'était rien moins qu'évident, puisque les fabricants d'automates programmables et autres systèmes de contrôle ne se souciaient absolument pas de ce point de vue.

  Une bonne solution est d'utiliser le système de contrôle programmable open source PROVIEW, qui vous permettra d'implémenter dans vos systèmes toute la sécurité souhaitée, en association avec les logiciels de sécurité présentés ci-après.

• Lister dans un fichier de configuration toutes les application d'automatisme utilisées et leur version ( plus tous les matériels utilisés, en particulier les périphériques réseau, les commutateurs réseau etc ) et vérifier dans un observatoire de vulnérabilité qu'elles n'y apparaissent pas, sinon installer les mises à jour de sécurité correspondantes.
• S'assurer que les poste individuels ( y compris les consoles de programmation ) sont protégés, et que leurs systèmes de protection sont à jour ( anti-virus, pare-feux, anti-espionnage, anonymat ).
• Et on ne le répétera jamais assez, bien gérer les mots de passe.

« MITRE » remplace l'observatoire de sécurité numérique open source « OSVDB », qui a arrêté d'archiver les accidents de vulnérabilité à cause du manque de soutien et de contribution de la part des industriels. « OSVDB » répertoriait toutes les vulnérabilités de systèmes de transmission de l'information détectées et signalées depuis le 7 Novembre 1902 ( incidents de piratage de données transmises avec le télégraphe Marconi, transmission sans fil oblige ! ).

Dans tous les cas, bravo et merci à toute l'équipe d'OSVDB pour le travail effectué pendant ce temps.

Vous vous apercevrez que dans les systèmes de production industriels, ce sont souvent les systèmes de supervision SCADA qui sont visés et qui sont particulièrement vulnérables ( ils sont souvent implémentés dans certain système d'exploitation propriétaire grand public ). Ce sont aussi des composants Ethernet ( commutateurs, cartes réseaux ), des logiciels d'analyse de trafic réseau, des automates programmables ( mauvaises implémentation du protocole ) etc.

Vous pouvez effectuer une recherche sur les événements enregistrés dans la base de données. Vous pouvez filtrer cette recherche par les termes que vous souhaitez, en entrant une requête dans le champ de saisie tout en bas de la page ( comme dans le lien du titre de cette section-ci où le mot-clé est « industrie », ce qui permet de lister toutes les vulnérabilités répertoriées dans l'industrie. Vous pouvez aussi saisir une marque ou une référence de matériel par exemple, ou n'importe quel mot qui vous semble pertinent sur un sujet qui vous intéresse ). Vous pouvez également essayer le moteur de recherche de la base de donnée des vulnérabilités, qui fournit des résultats peut-être plus explicites ou qui les affiche d'une manière peut-être plus claire.

https://cve.mitre.org

Le « service de traitement des risques informatiques critiques des systèmes de contrôles industriels » est une agence gouvernementale Nord Américaine qui traite exclusivement de la sécurité informatique des systèmes de contrôle utilisés dans l'industrie, quel que soit le domaine d'application.

Il diffuse une liste d'alertes portant sur les failles critiques ou sensibles détectées dans les systèmes de contrôle industriels ( automates programmables, réseaux numériques de communication, interfaces opérateurs etc ) et en informe les fabricants en leur demandant de mettre en place une correction. Comme vous pourrez le constater, la liste est longue.

L'organisation propose aussi tout un ensemble de documents très intéressants sur les pratiques de sécurité informatique recommandées pour les systèmes de contrôle.

www.cisa.gov

• Automates industriels : comment les sécuriser ?

  Éric LEMARCHAND - www.usinenouvelle.com

• Assises de la sécurité : la cybersécurité cible les système de supervision Scada.

  www.usinenouvelle.com

  ---

• Comment protéger son réseau informatique ?

  www.usinenouvelle.com

  ---

• Les kits de piratage : toujours une longueur d'avance.

  www.usinenouvelle.com

• Les cyberattaques par déni de service explosent.

  www.usinenouvelle.com

  ---

• La cybersécurité : le standard ISA 99.

  www.jautomatise.com

Ce serveur d'authentification libre et open source est basé sur le protocole d'authentification « Radius ». Il est le seul serveur open source Radius ( 2014 ) à utiliser le protocole EAP ( Protocole d'Authentification Extensible ) et à supporter les serveurs virtuels. Il s'agit du serveur d'authentification le plus utilisé dans le monde.

Ce système a été conçu pour pour gérer et pour contrôler, de manière sûre et en toute sécurité, n'importe quel équipement et n'importe quel utilisateur demandant un accès à un réseau ou demandant un accès à un composant d'un réseau, quelle que soit la technologie utilisée pour transmettre les données.

Cette technologie est utilisée par les fournisseurs d'accès Internet ( FAI ), par les fournisseurs de réseaux de téléphonie cellulaire, par les constructeurs de matériels périphériques Ethernet, et par n'importe qui voulant sécuriser son réseau internet IP, câblé ou sans fil ( avec n'importe quel équipement supportant un client Radius en fait ).

Le serveur est diffusé avec des compilations binaires disponibles pour beaucoup de systèmes d'exploitations, en particulier pour ceux basés sur Unix, Linux et MS Windows. Sinon, n'importe qui peut construire l'application pour le système d'exploitation qu'il souhaite, en compilant le code source.

RADIUS est avant tout un protocole de communication destiné à sécuriser les échanges de données en gérant et en contrôlant les accès. Il est implémenté dans une architecture client-serveur, et nécessite au moins un serveur Radius pour communiquer avec au moins un client Radius.

« FreeRadius » est un système AAA, c'est à dire un système d'authentification, d'autorisation et de gestion de compte. Il supporte Internet, Ethernet et tous les réseaux IP, les réseaux sans fil, les réseaux privés virtuels ( VPN ) et cætera. Toutes les données échangées entre un client et un serveur Radius sont cryptées.

• L'authentification fait référence au processus de validation de l'identité de l'utilisateur ( qui peut être une personne ou un équipement matériel ).

  Le procédé d'authentification peut utiliser un nom d'accès ( login ), un mot de passe, une localisation, l'adresse MAC ( l'adresse de contrôle d'accès au support de transmission ) de l'équipement qui veut se connecter et beaucoup d'autres données pour contrôler dans quelles zones tel ou tel utilisateur peut accéder ( voir l'autorisation ci-dessous ).

• L'autorisation fait référence à la gestion des permissions à accorder à l'utilisateur.

  Où est il autorisé à aller, et qu'a t'il le droit d'y faire ?

• La gestion de compte fait référence aux ressources qu'un utilisateur consomme.

  Elle est généralement utilisée par des services payants afin d'établir une facture ( en contrepartie des services utilisés auprès d'un fournisseur d'accès Internet par exemple, ou en contrepartie des services utilisés auprès d'un opérateur de téléphonie mobile par exemple ).

L'organisation FREERADIUS fournit toute la documentation souhaitée à partir de son site web qui n'est malheureusement rédigé que dans la seule langue anglaise.

Toutefois, vous pouvez télécharger au format .pdf de la documentation sur FreeRadius et sur le protocole EAP en français ( ) à partir du site d'Aurélien GÉRON ( http://aureliengeron.free.fr ), pour le cas éventuel où vous seriez allergique au parlé grand-breton.

https://freeradius.org

Un « tunnel privé virtuel » ( VPN ) agit comme un tunnel sécurisé situé à l'intérieur d'un réseau public. Il transmet des données sécurisées d'un point authentifié à un autre point authentifié en encapsulant des données compressées et cryptées à l'intérieur des trames du réseau public. Le réseau virtuel ( le tunnel privé ) achemine les paquets TCP ( le protocole de contrôle de transmission ) en utilisant les ports UDP ( les ports de données utilisateur ).

« Open VPN » - un projet libre et open source - protège les échanges de données contre les attaques passives et actives, et il est utilisable avec des adresses statiques ou dynamiques, à la fois pour les réseaux étendus ( WAN ) et pour les réseaux locaux ( LAN ). Tout ce qui concerne la sécurité au sein de « Open VPN » est basé sur le protocole Open SSL.

Nous pouvons bénéficier d'Open VPN pour accéder en toute sécurité à des équipements distants :

• Pour accéder à un automate programmable distant ou à un capteur distant pour des tâches de maintenance par exemple.
• Pour échanger des données entre deux usines.
• Pour connecter en permanence un automate programmable avec un équipement distant.
• Pour isoler les réseaux d'automatisme d'une usine et les rendre « opaques » vis à vis de l'extérieur des ateliers de fabrication.

Pour renforcer la sécurité des communications, « Open VPN » peut ( doit ??? ) être utilisé en conjonction avec un ou plusieurs serveurs d'authentification FreeRadius.

https://openvpn.net

Cette librairie libre et open source implémente le protocole SSL ( couche de gestion de la sécurité ) et le protocole TLS ( Sécurité de la couche transport ). Elle est utilisée par de très nombreuses applications populaires ( par Open VPN ou par FreeRadius pour n'en citer que quelques unes, ou aussi par le protocole sécurisé « HTTPS » ), et par un nombre très important d'organisations diverses.

• Le protocole SSL crypte les communications établies entre deux nœuds d'un réseau, en utilisant une clé publique et une clé privée. Il a été conçu pour faire communiquer un serveur web et une application web client au travers d'Internet.
• Le protocole TLS est une évolution du protocole SSL, avec une robustesse et une sécurité améliorés.

www.openssl.org

Ce logiciel de cartographie réseau libre et open source intègre tout un ensemble de programmes conçus pour contrôler et vérifier la sécurité des réseaux numériques de communication basés sur Ethernet, à partir d'un réseau composé d'un hôte unique jusqu'à n'importe quel réseau étendu et en prenant en compte les transmissions de données sans fil. Il scrute tous les hôtes actifs et tous les ports TCP et UDP disponibles dans un réseau IP, puis il vérifie avec plusieurs techniques différentes s'il est facile de s'y introduire, et le cas échéant, où se situent les failles éventuelles.

« NMAP » est destiné aux administrateurs réseau, et peut être associé à d'autres outils comme « ZenMap », « Ndiff » ou « Nping », tous disponibles sur le site web de NMAP.

https://nmap.org/

• Comodo.  

  Comodo propose en libre chargement un pare-feu personnel particulièrement efficace. Manipulé par un expert, il se révèle vraiment puissant, car il est possible de paramétrer finement tous les accès pour tous les protocoles possibles. Cet éditeur propose également d'autres produits de protection numérique de qualité ( des anti-virus et des pare-feux aux fonctionnalités étendues ).

  www.comodo.com

• Avast!.  

  Avast propose un excellent logiciel antivirus téléchargeable gratuitement, qui offre aussi des fonctions de bouclier réseau et de pare feu. Avast en propose aussi une version commerciale munie de plus de fonctionnalités, ainsi qu'un pare-feu complet pour protéger vos machines connectées à un réseau informatique.

  www.avast.com/fr-fr/

• Ad-aware!.  .

  AdAware est une bonne application de protection contre les logiciels espions, dont une des versions est téléchargeable librement et disponible en français. Lavasoft distribue aussi à titre commercial des logiciels pare-feu et des logiciels de protection contre le vol de données.

  http://fr.lavasoft.com/

  ---

• SpyBot Search & Destroy.  

  Spybot S&D est une excellente application pour la surveillance et la protection de votre système d'exploitation ( y compris les terminaux mobiles ) qui s'évertue à détecter et à vous protéger des logiciels espions, des logiciels pirates et de tout autre logiciel nuisible qui tentent de vous voler vos données, vos mots de passe etc. Spybot propose une mise à jour hebdomadaire de sa base de connaissances.

  www.safer-networking.org

Depuis que naviguer sur le web signifie être suivi par les publicistes, par les fournisseurs d'accès internet, par les pirates, par les moteurs de recherches et par encore beaucoup d'autres organisations, un technicien veut peut être se prémunir contre l'analyse de trafic. Ou bien peut être souhaite t'il se connecter à un contrôleur distant pour y effectuer des opérations de maintenance, et il ne souhaite pas prendre le risque d'être suivi par des pirates ou d'être surveillé par certains des concurrents de son employeur ou de son client par exemple.

Le « projet TOR » ( le « routeur en oignon » ) est peut être le bon outil pour empêcher d'être suivi. Il rend un utilisateur anonyme et permet aux données de rester confidentielles en fournissant des outils très utiles.

Le concept de base sur lequel cette solution repose est le fait d'acheminer les requêtes et les réponses du réseau internet au travers de réseaux privés virtuels ( VPN ) chaînés successivement et organisés en une architecture en « couche d'oignons », en cachant ou en transformant votre adresse IP, votre localisation et quelques autres informations ( voir la section « à propos de TOR » pour plus d'informations ).

Conçu à l'origine par la marine américaine, le « projet TOR » est maintenant un projet libre et open source très populaire utilisé dans le monde entier, pour la bonne et simple raison qu'en augmenter le nombre de ses utilisateurs en augmente les capacités d'anonymat.

Les équipes de développement de ce projet fournissent plusieurs applications, dont le TOR project bundle ( navigation privée avec le navigateur Firefox ), TORbirdy ( ) ( une application client de courrier privé utilisant Thunderbird ), Tails ( un système d'exploitation très sécurisé basé sur Linux et sur le projet TOR, qui met en œuvre des techniques d'anonymat et de confidentialités très robustes ) et d'autres outils encore ( visiter la section « projets » du site web pour plus d'informations ).

www.torproject.org/fr/

La société Avast diffuse une version libre de son outils de sécurité pour téléphone mobile, destinée aux équipements fonctionnant sous le système d'exploitation Androïd.

Le logiciel « Avast mobile security » vous prémunit contre les virus et autres logiciels mal intentionnés ( oui, oui, quoi qu'on en dise, des logiciels malveillants sont capables d'attaquer le système d'exploitation Linux ), et contre les sites web infectés. Il peut aussi bloquer des numéros de téléphone spécifiques, il peut agir comme un pare-feu si vous avez besoin de cette fonction, et il suit votre téléphone mobile au cas où il aurait été volé ou au cas où vous l'auriez perdu, vous aidant à le récupérer.

www.avast.com/fr-fr/

Ce projet libre et open source repose sur le projet TOR et en fournit les mêmes fonctionnalités. Le système a été spécialement conçu et adapté pour fonctionner avec les téléphones mobiles utilisant le système d'exploitation Android.

https://guardianproject.info/