Journal d'investigation en ligne et d'information‑hacking
par bluetouff

SCADA : Attaque d'une infrastructure de distribution électrique

Il n'y a pas si longtemps que ça, je vous parlais des systèmes SCADA, par exemple ici, ou là. Ces systèmes proposent des interfaces homme machines (IHM), pour piloter des infrastructures physiques critiques (centrales nucléaires, réseaux de distribution énergétique, oléoducs etc...). J'ai, à plusieurs reprises, fois pointé du doigt certains risques que nous allons tenter de développer un peu plus ci-dessous : Premier risque : des systèmes physiquement connectés au réseau Internet.

Il n'y a pas si longtemps que ça, je vous parlais des systèmes SCADA, par exemple ici, ou . Ces systèmes proposent des interfaces homme machines (IHM), pour piloter des infrastructures physiques critiques (centrales nucléaires, réseaux de distribution énergétique, oléoducs etc...).

J'ai, à plusieurs reprises, fois pointé du doigt certains risques que nous allons tenter de développer un peu plus ci-dessous :

  • Premier risque : des systèmes physiquement connectés au réseau Internet. J'ai pu constater de visu que certaines infrastructures monitorées par des systèmes SCADA étaient physiquement connectées au réseau Internet, ce alors qu'elles n'avaient pas spécialement besoin de l'être. Elles sont souvent derrière des VPN mais manque de chance, un Cisco mal configuré et hop c'est le drame. L'avènement de la mobilité a fait que certains professionnels ont trouvé bon de disposer d'un accès via Internet à leur interface de monitoring pour être en mesure de montrer à leurs clients. Un téléphone perdu... et hop là encore, c'est le drame. Notez toutefois que les personnes qui pratiquent ce genre d'hérésie sont souvent des gens du bâtiment pour lequel SCADA ira superviser la consommation énergétique d'un immeuble par exemple.
  • Second risque : il est relativement aisé de trouver sur des sites comme Megaupload, Rapidshare ou même des réseaux P2P, des clients lourds, qui une fois décompilés, livrent beaucoup de petits secrets (une recherche sur la chaîne "http://" est souvent très instructive).
  • Troisième risque : nous l'avons vu avec Stuxnet et le système SCADA de Siemens qui indiquait clairement de ne pas changer le mot de passe d'accès à la base de données. Mot de passe en dur (et en clair) dans le code du client.
  • Quatrième risque : La compromission de systèmes complexes d'infrastructures physique sont souvent le fruit de plusieurs facteurs qui isolément, peuvent sembler parfaitement inoffensifs. Les solutions qui composent ces systèmes ne prennent évidemment pas de disposition en cas de défaillance de l'un ou de l'autre, ce malgré leur forte indépendance. Pire, il peut arriver que certains trous ne soient pas corrigés sous prétexte qu'un autre maillon de la chaîne empêche l'exploitation d'une vulnérabilité connue.
  • Cinquième risque : ces systèmes sensibles, souvent propriétaires et fermés, on de hauts impératifs en matière de sécurité. Une vulnérabilité mise en évidence n'étant jamais une très bonne publicité pour les sociétés qui éditent ces solutions, on préfère, comme nous allons le voir un peu plus loin, nier toute faiblesse. Dans le monde de l'industrie, on préfère mettre en avant la robustesse et la fiabilité de ses solutions, comme le montre très bien la publicité Google Adwords ci dessous

Si comme moi vous ne connaissiez pas la légendaire robustesse des solutions Realflex, vous ne connaissiez probablement pas non plus ce petit buffer overflow

Comme toujours, le prélude d'une attaque, c'est la recherche et la documentation. Les fabricants de ces systèmes sont rarement avares en détails quand il s'agit de vanter leurs produits, et il est assez facile de trouver des documentations techniques très intéressantes sur certains systèmes... et de jolis designs d'infrastructures complètes. Les chercheurs en sécurité s'intéressent grandement aux systèmes SCADA puisque ces derniers équipent comme nous l'avons plus haut, sont des infrastructures critiques et dont une défaillance pourrait causer des pertes en vies humaines. Espérons maintenant que les terroristes, eux, ne s'y intéressent pas de trop près.

Entre ombres, lumières, obscurantisme et transparence

Les 3,4 et 5 mars derniers se tenait à Madrid le RootedCon'2011. Un chercheur en sécurité, Rubén Santamarta y a présenté une conférence détaillant l’inoculation d'un cheval de Troie sur un système SCADA d'un réseau de distribution électrique. Ce n'est pas une première, d'autres chercheurs se sont déjà penchés sur les réseaux de distribution électrique, comme cette étude universitaire qui a probablement été utile à Rubén pour attaquer le logiciel EMS (Energy management system), mais la démonstration de Rubén Santamarta met à nu :

  • une vulnérabilité RPC 0day dans le logiciel WebAccess de Advantech/Broadwin (une application très utilisée),
  • une vulnérabilité dans le Remote Terminal Unit (RTU) de Semaphore,
  • une attaque sur un logiciel d'EMS.

Son auteur relate qu'il a contacté l'ICS-CERT pour faire part de sa découverte mais Advantech a jugé plus intelligent de nier l'existence de la vulnérabilité. Rubén s'est donc permis de publier son code d'exploitation "qui ne sert à rien" puisque la vulnérabilité n'existe pas. Une attitude que certains ne manqueront pas de juger inconsciente de la part de l'éditeur de WebAccess, mais gageons que ce dernier a surement planifié de corriger rapidement ce trou et de persister à nier qu'il exista un jour.

Enfin, concernant Advantech/Broadwin... que vous dire de cet éditeur si ce n'est qu'il m'a complètement ébahi quand j'ai découvert avec fo0 le logiciel WebAccess. Figurez vous que sans aucun login ni mot de passe, il est possible de s'y connecter quand il présente un certain défaut de configuration, certes énorme, mais qui ne devrait en toute logique même pas être possible. Ceci m'a par exemple permis de découvrir un système complet de monitoring énergétique d'une université asiatique comprenant 4 bâtiments et... un couvent! D'ailleurs ce petit détail de la protection par mot de passe est parfaitement mis en valeur sur la belle plaquette commerciale de Broadwin. En étudiant un système de ce type accessible et opérationnel, il devient parfaitement possible d'en tirer quelques enseignements pour en compromettre un autre, plus important et mieux protégé.

0 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée