Sécurité des systèmesinformatiques industriels 2ème partie

Se protégerMartin Naedele, Rolf Vahldieck

Comprendre

74 Revue ABB 3/2005

Le premier volet de ce dossier aborda la terminologie et les fondements de lasécurité informatique. Le besoin de mesures et de garde-fous pour parer auxattaques de la citadelle informatique en milieu industriel se justifie notammentpar le nombre d’« infections» ayant récemment défrayé la chronique. A l’heuredes réseaux ouverts, les menaces qui guettent nos systèmes d’automatisationsont bien réelles.

Cette deuxième partie expose les différents types d’offensives portées auxsystèmes d’automatisation et quelques parades ; un exemple pratique mettanten œuvre certains des mécanismes préconisés éclaire notre propos.

Comprendre

75Revue ABB 3/2005

Sécurité des systèmes informatiques industriels

Protéger leurs réseaux d’automatis-mes des virus, vers et autres mali-

gnités ou «malveillances » est l’une despréoccupations majeures de nomb-reux industriels. Comme l’ont illustréles exemples d’attaques virales de no-tre première partie [1], la délinquanceinformatique et ses effets dévastateurssont à prendre au sérieux :

Entrave à la communication entreordinateurs d’un réseau local parsurcharge du réseau ;Plantage de système d’exploitationet arrêts forcés ;Altération de l’application et desfichiers stockés sur disques durs ;Diffusion malveillante d’informationsou ouverture d’une brèche dans lesystème informatique, permettantson contrôle à distance par un pirate.

Autant de risques inacceptables pourles sites industriels tant manufacturiersque continus.

Cet article propose diverses stratégies,techniques et procédures de sécurisationd’un système informatique industriel.

Autopsie d’une infection informatiqueOn dénombre quatre grandes formesde malveillance, même si, dans lesfaits, une attaque informatique peutcumuler plusieurs de ces fonctions etcaractéristiques [2].

Un virus est un programme qui se gref-fe à un autre message ou fichier pourinfecter un ordinateur sous couvert d’unéchange légitime de données. Avantl’informatique de réseau, la disquetteétait son vecteur de contamination; en particulier, le virus infectait souventla zone du disque lue en premier audémarrage de l’ordinateur, d’où sonnom de «virus de secteur d’amorce».Aujourd’hui, les virus investissent sur-tout les programmes exécutables oudocuments contenant des macros ouscripts transmis sur le réseau (en piècejointe d’un courriel, par exemple), ouencore un logiciel de messagerie ouune page web. Les contaminations parsupports amovibles restent d’actualité,même si elles sont plus rares.

L’action déclenchée par un virus estune charge dont les manifestationssont aussi variées qu’inattendues : mes-sage inopiné à l’écran, prise de contrô-le et manipulation de l’affichage, modi-

fication ou destruction de fichiers aléa-toires ou de tout le fichier système,paralysie du système. Pire, cette chargese répand en parasitant d’autres pro-grammes et documents de l’ordinateur.

Un virus exploite une ou plusieursactions de l’utilisateur (lancementd’un programme, navigation dans unepage web, insertion d’un support destockage amovible…) pour proliféreret frapper sa cible, sans éveiller laplupart du temps le moindre soupçon !

Le ver lui emprunte bien des caractéris-tiques mais s’en démarque par la facul-té de se multiplier sans intervention del’utilisateur : totalement autonome, il

s’autoreproduit en créant une répliquede lui-même sur d’autres ordinateursdu réseau. La messagerie électroniqueest son support de prédilection ; le vers’envoie automatiquement à l’ensembledes contacts du carnet d’adresses del’internaute ou balaie directement le ré-seau local à la recherche d’autres ma-chines vulnérables ou adresses IP poury déceler d’éventuelles brèches, établirune liaison et accomplir le transfert.

Le ver n’étant pas activé par l’utilisa-teur, il se camoufle souvent dans lamémoire de l’ordinateur et peut êtreéliminé en redémarrant ce dernier. A cejour, rares sont les vers dont la chargesoit responsable de sinistre informa-tique. Rien ne prouve pour autant queles futurs vers n’aient pas d’action des-tructrice. Ils ont coutume de surchargerles réseaux qui gravitent autour del’ordinateur infecté, proliférant d’unemachine à l’autre pour engendrer devéritables épidémies .

A l’image de son homologue de lamythologie grecque, un cheval de Troiecache, sous une apparence inoffensive,des fonctions illicites. C’est en fait unvirus sans facteur de propagation qui agénéralement pour mission d’infiltrer unsystème par une porte dérobée permet-tant à l’agresseur d’en prendre le contrô-le à distance. Pour ne pas se faire repé-rer, il a tout intérêt à rester silencieux etanodin le plus longtemps possible.

En réalité, certains d’entre eux, les kitsde racine, modifient de vastes pans dusystème d’exploitation pour échapper à

Tableau 1

1

Nom Apparition Vecteur de Nombre d’ordinateurs

propagation/Cible infectés et conséquences

Sasser 30 avril 2004 Vulnérabilité à la faille > = 1 000 000 (plantages etWindows LSASS redémarrages à répétition)

Blaster 11 août 2003 Vulnérabilité à la faille > = 500 000 Windows DCOM

Slammer 25 janvier 2003 Dépassement de mémoire > = 75 000 tampon dans SQL Server (saturation du réseau)

Code Rouge 19 juillet 2001 Dépassement de mémoire > = 350 000tampon dans IIS (congestion du réseau)

ILOVEYOU 4 mai 2000 Virus VBscript se propageant >> 10 000,000 par les messageries électroniques Outlook.

Melissa 26 mars 1999 Fichier joint à un courriel ; > = 100 000à l’ouverture, il s’auto-envoie aux destinataires du carnet d’adresses Outlook.

Récents exemples de contaminations virales [4]Tableau 1

La fulgurante invasion planétaire du verSlammer, 30 minutes après son apparition:sachant que le diamètre de chaque cercle estfonction du logarithme du nombre de machi-nes infectées, les grands cercles de la carteminimisent volontairement l’ampleur desinfections pour ne pas chevaucher les zonesvoisines. Pour certaines machines, seul lepays d’origine est indiqué, à défaut d’une villeprécise. [Figure et légendes tirées de [3]]

1

Sat Jan 25 06:00:00 2003 (UTC) Number of hosts infected with Slammer: 74,855

76 Revue ABB 3/2005

Sécurité des systèmes informatiques industriels

la détection. Leur méfait peut consister,par exemple, à remplacer des utilitairesd’énumération des fichiers du disquedur ou d’indication des connexionsréseau ouvertes par des versions effa-çant toute trace de leur activité.

Cousin du troyen, l’espiogiciel, activéen arrière-plan, collecte à l’insu del’utilisateur certaines informations del’ordinateur infecté (applications instal-lées, pages web consultées) pour lestransmettre à des tiers. Discret, il œu-vre en cachette sur de longues pério-des.

PréventionEn règle générale, ces agressions peu-vent être évitées en limitant leurs modesde propagation et de contamination. Pour prévenir l’infection, il faut maîtri-ser les différents modes d’intrusion d’unfichier infecté dans le système. Heureu-sement, dans le cas des systèmes d’au-tomatisation, il est possible d’éliminer laplupart des voies d’accès [5].

Pièces jointes aux messageries classiqueet instantanée (IM/IRC): aucun courrielou trafic IM/IRC ne doit pouvoir attein-dre les ordinateurs du réseau d’automa-tismes, ce qui revient à ne pas installerd’application cliente de courrier électro-nique ou de messagerie instantanée surces machines ou à désactiver celles inté-grées au système d’exploitation. Il fautaussi bloquer les protocoles correspon-dants dans le ou les pare-feu situés en-tre le système d’automatisation et les ré-seaux extérieurs. Si l’exploitation justifiela réception de courriels et l’emploi d’unoutil de messagerie instantanée en sallede commande, on utilisera pour cela unordinateur distinct, dissocié du réseaud’automatismes, mais directement relié àl’intranet de l’entreprise. Cette machinepeut aussi avoir accès aux réseaux decommunication externes par le biais,notamment, d’un modem RTC ou ADSL.Autre précaution: configurer les clientsde courrier électronique et de message-rie instantanée sur ce poste pour les em-pêcher d’exécuter tout contenu actif. Demême, des applications de filtrage doi-vent effacer de tous les messages en-trants les pièces jointes, scripts et autresdangereux ingrédients.

Navigation sur l’Internet : là encore, ilfaut bannir la consultation de sitesdouteux sur un ordinateur du réseau

d’automatismes. La désinstallation dunavigateur web n’étant pas un remèderéaliste, le filtrage au niveau du pare-feu ou la mise en place de réseau pri-vé virtuel (VPN) peut restreindre laconsultation à une poignée de sourcesdûment authentifiées (accès à la docu-mentation de référence sur l’intranetde l’entreprise ou à un site partenaire).Il y a également moins de risque devoir les utilisateurs contourner la règlede limitation des clients de courrierélectronique (cf. précédent paragra-phe) en utilisant des clients de messa-gerie sur le Web. Là encore, pour accé-der au Net, il est conseillé de passerpar des ordinateurs distincts, non rac-cordés au réseau d’automatismes. Tousles téléchargements doivent être filtréspour déjouer les éléments actifs etpotentiellement néfastes. Dans l’idéal,seuls les documents HTML purs de-vraient atteindre l’application cliente.

Partage de lecteur : en règle générale,le partage de lecteur entre ordinateursinternes ou externes aux réseauxd’automatismes est à proscrire. Cettetâche peut être confiée à des pare-feu.Des protocoles sécurisés se chargentde véhiculer les données à l’intérieurcomme à l’extérieur du réseau d’auto-matismes .

Echange de CD, DVD, disque, clé et au-tres mémoires de masse amovibles : trai-tements, procédures et mécanismes deprotection physiques (verrouillages delecteur, par exemple) doivent garantirque le contenu de tous ces moyens desauvegarde est analysé avec des logi-ciels de balayage à jour pour y repérerles signatures virales avant d’approcherun ordinateur du réseau de commandede l’usine. De multiples analyses pardifférents programmes antiviraux peu-vent renforcer la protection. Il va de soique la machine utilisée à cette fin nedoit en aucun cas être raccordée auréseau de commande.

Transferts de données (FTP, PCAny-where …) : le transfert direct de fichiersdans le système de commande parl’une de ces applications doit être ré-duit au minimum. Un serveur de pré-production intermédiaire doit inspecteren détail toutes les données entrantespour parer aux infections. Des signatu-res électroniques peuvent l’y aider envérifiant la provenance (expéditeur

2

connu et accrédité) et l’intégrité dufichier (absence de modification entrel’analyse antivirale et l’importationdans le système de commande).

Ordinateurs portables : chaque postemobile doit intégrer les tout dernierscorrectifs de système d’exploitation etexploiter un scanneur de chevaux deTroie et d’exécutables. Plusieurs édi-teurs de solutions de sécurisationcommencent à proposer des outilspour vérifier qu’un ordinateur remplitcertaines exigences avant de pouvoirse connecter au réseau.

Service accessible depuis l’extérieur :il faut littéralement blinder tous lesordinateurs, autrement dit éliminer etinvalider les services et comptes utili-sateurs inutiles, établir des listes dedroits d’accès et restreindre les privi-lèges de chaque utilisateur (comptessystème inclus) au strict nécessaire àl’exercice de ses fonctions.

Dans l’idéal, il faut concevoir les flux decommunication au sein du système detelle sorte que les PC clients externesn’aient pas besoin de formuler de re-quête au réseau de commande. Le caséchéant, le pare-feu peut être configurépour bloquer toutes les connexionsdepuis l’extérieur, y compris les détec-teurs de vers. Si des ports doivent êtreouverts, il existe plusieurs façons de lesprotéger des attaques informatiques :

Si l’entreprise peut effectuer leparamétrage des applications à lafois sur les postes clients et ser-veurs, les ports peuvent être confi-gurés avec des numéros différentsde ceux utilisés traditionnellementet qui sont la cible favorite des vers. Des VPN peuvent limiter le nombred’ordinateurs clients autorisés.Au sein du réseau de commande,d’autres pare-feu et pare-feu per-sonnels peuvent servir à créer deszones de confinement.Les services superflus et réputéspour leurs lacunes ne doivent êtreaccessibles que sur un seul des ser-veurs redondants pour limiter lesconséquences d’une infection.

Une autre parade consiste à installertoutes les mises à jour éliminant les vul-nérabilités connues du service en ques-tion. Cette technique n’est pas forcé-ment la panacée car elle est lourde à

Comprendre

77Revue ABB 3/2005

Sécurité des systèmes informatiques industriels

DésinfectionLa planification et l’exécution d’unedécontamination adéquate imposent lacollecte de certaines informations :

Quelles fonctions et machines in-dispensables doivent être rétabliesprioritairement ?Combien de temps les différentesfonctions du système peuvent-ellesêtre arrêtées ?Qui alerter ? Dans quel délai peut-on intervenir ? En cas d’absence oud’indisponibilité, qui remplace qui ?

Une fois renseigné sur les fonctions dusystème, leurs interdépendances et lesflux de communication, on peut doterl’architecture système de plusieurs pointsd’isolement; si le réseau est coupé ences points, les îlots restants gardent aumoins une fonctionnalité partielle.

Des fonctions redondantes peuventêtre distribuées sur plusieurs de ceszones de confinement.

Les moyens techniques suivants facili-tent une reprise rapide du contrôle-commande de l’usine :

Ordinateur de secours semi-automa-tique, isolé du réseau, pour lesfonctions n’autorisant aucun arrêt.Sauvegardes complètes et récentesdu système sur disques durs amovi-bles et démarrables, permettant leredémarrage instantané des systè-mes contaminés après retrait dudisque piraté.Sauvegardes complètes et récentesdu système sur d’autres supports(« images disque ») pour la réinstalla-

tion immédiate des ordinateurscompromis.Mécanismes de commande desauvegarde locale, non connectésen réseau (vannes manuelles, parexemple) ; procédures pour lespiloter et les exploiter. Moyens de communication pour lepersonnel d’astreinte, indépendantsdu réseau informatique et télécoms(transmissions radio bidirectionnel-les, par exemple).Accès Internet depuis un ordinateurdistinct, indépendant du réseaud’entreprise, par ADSL ou RTC versun fournisseur d’accès différent, per-mettant d’obtenir du Net des infor-mations et mises à jour, même encas de paralysie du réseau principal.

Ces mesures en place, plusieurs éta-pes doivent être mises en œuvre encas d’infection :

Isoler les ordinateurs déclarés infectés.Séparer les différentes zones deconfinement au niveau des pointsd’isolement prédéfinis.Identifier et supprimer le vecteur de contamination (connexion auréseau extérieur, par exemple).Tout risque de propagation étantécarté, raccorder les ordinateurs desecours restés hors ligne jusque-là.Identifier l’attaque.Rétablir les ordinateurs contaminés enappliquant la stratégie définie (disquedur, image disque, reconstruction àpartir des supports d’origine, désin-fection). Pour cela, faites-vous aiderpar un expert. En cas de doute,mieux vaut rebâtir le système (pour

Comprendre

mettre en œuvre. Il est aussi conseilléde différer l’installation tant que le four-nisseur du système d’automatisation n’apas testé et validé ces correctifs. Malgréles essais constructeurs effectués sur unsite pilote, rien ne garantit l’absenced’interférence du correctif avec un systè-me spécifique. Circonstance aggravante,ces mesures sont impuissantes face aux«attaques au jour zéro» conduites par lebiais de vulnérabilités inconnues jus-qu’alors. Conclusion: aucune politiquede sécurité informatique ne peut serésumer à la mise en place de correctifs.

DétectionIl faut pouvoir débusquer une infec-tion informatique et la contrer bienavant qu’elle n’entrave le bon fonc-tionnement du système d’automatisa-tion. Plusieurs armes de détection s’yemploient : logiciels antivirus installéssur les ordinateurs, détecteurs d’intru-sion sur le réseau et les ordinateurs,outils de surveillance de l’état de san-té du réseau (éventuellement intégrésà l’interface opérateur du système decommande [6]), techniques relative-ment récentes de détection d’activitéde ver spécifique dans un réseau [7].Hélas, par souci de performances, ilarrive que certains hôtes, répertoiresou applications passent au travers dela détection de virus et d’intrusions.

Dans tous les cas, ces antidotes n’au-ront d’utilité que si quelqu’un veilleconstamment sur les systèmes, avecles compétences et outils nécessairespour réagir immédiatement, neutrali-ser l’infection et l’éradiquer.

3

Prototype d’outil développé par ABB Corporate Research poursignaler à l’opérateur du système de commande les comportementsanormaux du réseau dus, par exemple, à une attaque virale.

3Prototype d’outil développé par ABB Corporate Research poursécuriser l’importation de fichiers dans un système d’automatisation.

2

78 Revue ABB 3/2005

Sécurité des systèmes informatiques industriels

s’assurer que tous les éléments del’infection sont bel et bien éliminés)que compter sur des outils de sup-pression des logiciels malveillants.Remettre hors ligne les ordinateursde secours.Reconnecter les ordinateurs désin-fectés.Prendre des mesures (modificationde certaines procédures, par exem-ple) pour éviter la réapparition del’infection.Rétablir les communications avec leréseau extérieur.

Contre-attaque par l’exempleVoyons un exemple d’architecture desécurité mise en place sur le systèmed’automatisation d’un client ABB (ver-sion légèrement simplifiée). Le systè-me de commande du site se composed’une interface opérateur (IHM) etd’un sous-système de collecte dedonnées de performances et d’éditionde bilans (reporting).

Le client veut accéder au serveur de re-porting à partir des postes clients de sonintranet, également connecté à l’Inter-net. Sa principale inquiétude est la me-nace d’infections virales, notamment parle biais du service de reporting exposéau risque d’attaques via le pare-feu.

Voici une description de quelques-unsdes plus judicieux mécanismes de lutte

contre la malveillance informatique pource cas de figure . Par souci de conci-sion, les procédures et mesures tech-niques standards ne sont pas exposées.

La partie exploitation du système decommande est cloisonnée : pour yaccéder, toutes les importations defichiers par supports amovibles doi-vent d’abord passer au crible de lastation antivirus, située dans la sallede commande et uniquement raccor-dée à l’intranet. Celle-ci est dotée d’un pare-feu personnel et ne peutque récupérer les mises à jour sur leNet. Le système de reporting est rac-cordé au réseau d’automates par sonpropre serveur. Les automates dialo-guent par l’intermédiaire d’un réseaude terrain qui n’utilise pas de protoco-le TCP/IP/Ethernet, écartant ainsi toutrisque de propagation virale.

Un pare-feu bloque les demandes ve-nant de l’intranet sur tous les ports duserveur de reporting, exclusion faite desrequêtes de données de performances.Pour réduire encore le périmètre de vul-nérabilité, seul un sous-ensemble desordinateurs raccordés à l’intranet (plusprécisément les postes censés exécuterl’application cliente de reporting) estautorisé à envoyer des données auxports ouverts du pare-feu. Pour cela, unVPN sur IPSec est intercalé entre ordina-teurs et pare-feu; ce VPN assure essen-

4

tiellement l’authentification des hôtes, etnon la confidentialité des données.

Etat des lieuxLa lutte contre la malveillance informa-tique est l’affaire de tous. Des règles desécurité clairement définies stipulant lesactions autorisées et les bonnes pra-tiques d’exécution, ainsi que la forma-tion et la sensibilisation des utilisateursà la politique sécurité, à ses procédureset à sa raison d’être sont les «nerfs dela guerre » contre les infections informa-tiques. Il convient par exemple de défi-nir les flux d’informations entre le sys-tème d’automatisation et le monde ex-térieur pour automatiquement barrer laroute à bon nombre des vecteurs decontamination cités dans cet article…même au grand dam des utilisateurs !L’arsenal technique pour appuyer etconcrétiser cette stratégie sécuritaire secompose de pare-feu, de détecteurs devirus, de filtres de contenu et de détec-teurs d’intrusion (IDS).

Martin Naedele

ABB Switzerland, Corporate Research

martin.naedele@ch.abb.com

Rolf Vahldieck

ABB Automation Products (Allemagne)

rolf.vahldieck@de.abb.com

Bibliographie

[1] Naedele, M. , Dzung, D.: « Introduction à la sécu-

rité des systèmes informatiques en site indus-

triel », Revue ABB 2/2005.

[2] T. Chen, J-M. Robert, Worm epidemics in high-

speed networks, IEEE Computer, June 2004.

[3] M. Naedele: Sicherheitsstrategien für automati-

sierte Produktionssysteme, in: D. Burgartz,

R. Röhrig [Eds.] Information Security Manage-

ment, TÜV Verlag (publication prévue en 2005)

[4] Naedele, M., Biderbost, O.: Human-Assisted Intru-

sion Detection for Process Control Systems, 2nd Int.

Conf. on Applied Cryptography and Network Securi-

ty (ACNS), Tunxi/Huangshan, China, June 2004.

[5] Riordan, J., Zamboni, D.: Billy Goat Detects

Worms and Viruses, ERCIM News No. 56,

January 2004, http://www.ercim.org/publication/

Ercim_News/enw56/riordan.html.

[6] N. Weaver, V. Paxson, S. Staniford and R. Cunnin-

gham, A Taxonomy of Computer Worms, Proc. ACM

CCS Workshop on Rapid Malcode, October 2003.

[7] D. Moore, V. Paxson, S. Savage, C. Shannon,

S. Staniford and N. Weaver, Inside the Slammer

Worm, Security and Privacy, July/August 2003.

Pour en savoir plus

Richard Harrison : The Antivirus Defense-in-Depth

Guide, Microsoft, 2004

Comprendre

Architecture d’un système d’automatisation protégé de la malveillance informatique4

Exploitation Commande Reporting Protection antivirale

IHM IHM

Serveurde com-mande

Serveurde com-mande

Traitement des données de

performancesAnalyse des

performances

Pare-feu

VPN

Analyse des performances

Support de stockage amovible

Réseau de terrain (non TCP/IP/Ethernet)

Automate Automate

InternetIntranet

Stationantivirus

Pare-feupersonnel