Scada : l'Etat s'émoie *

• Imprimer

Un article sur la sécurité des infrastructures stratégiques d'Etat, c'est à la mode. Deux papiers, c'est de l'inspiration mutuelle entre journalistes. Trois, ca tourne à la manipulation d'opinion. Mais quatre, cinq... serait-ce le début d'une nouvelle forme de banditisme politico-diplomatique ? Tout commence mezzo voce avec un rapport de SecureWorks sur les statistiques d'attaques des Assurances Santé aux USA. Une sorte d'équivalent privé de la Sécurité Sociale Française, puisque la notion d'assurance complémentaire Outre Atlantique n'a de complémentaire que le nom. L'analyse de la Counter Threat Unit estime que le nombre de ces attaques a subi, en 2007, une croissance de 85 %. Et, nous expliquent ces experts en sécurité, ce n'est pas là un hasard. Les organismes du monde de la santé offrent une visibilité, une surface d'attaque énorme, à l'échelle du pays. On est là bien au-delà des infrastructures d'une entreprise, fusse-t-elle d'envergure internationale. Plus la cible est importante, moins il est compliqué de la manquer, plus elle regorge de vulnérabilités probables. En outre, un « healthcare service » est une mine d'identité, une corne d'abondance ou l'on trouve des adresses, des numéros de compte en banque, des « indices de solvabilité » financière concernant chaque assuré. Autant de données aisément récupérables à l'aide de malwares conventionnels, infestant les postes clients de ces grands réseaux informatiques. Un poco vivace, le Federal Computer Week titre « Des pirates étrangers cherchent à voler les informations médicales des Américains ». Ames sensibles s'abstenir. Mark Walker, un fonctionnaire du DHS travaillant dans la « Critical Infrastructure Protection Division », confie au FCW que c'est là l'oeuvre de pirates Chinois et Russes. Il est des moments ou les « recherche-remplace » hérités du gouvernement McCarthy ont du mal à se faire effacer. La Grande Conspiration Crypto Communiste frappe encore, le mal ne peut provenir que le l'étranger. Pour quelle raison ? Dans quel but ? "We don't know why", répond Walker "We want to know why". L'hypothèse "vol d'identité" et "récupération de crédences bancaires" émise par les analystes de SecureWorks parait un peu plus réaliste que cette forme insidieuse de mauvaise psycho-propagande. Presto, contre le cyberbanditisme, le gouvernement est à la traine. Ce papier de Security News fait le point sur le manque d'effectif déclaré des « cyberflics » américains, pénurie de personnel qui se fait cruellement sentir particulièrement à l'échelle régionale ou locale. C'est un peu comme si, en France, l'on manquait d'enquêteurs Ntech... c'est impensable, voyons. Mais revenons, Andante, à des sujets moins fantaisistes. Selon une estimation de l'équipe Cymru, il existe 3,5 millions de CCS (les points de commande d'un réseau de Bot). Cette arme fantastique peut être pointé sur n'importe quoi : « against corporate, government and home-user machines » explique l'un des interviewé. En d'autres termes, la menace n'est pas spécifiquement pointée sur les infrastructures Scada, mais sur tout ce qui peut rapporter de l'identité ou de l'argent... Scada y compris. Les bandes de pirates de plus en plus organisées mènent une sorte de guérilla à large éventail de cible, à l'aide de vecteurs tirant tous azimuts. Difficile donc d'organiser une riposte adaptée face à des assauts qui ne sont ni focalisés, ni localisés. Il n'y aurait donc pas de « risque Scada », mais une égalité de vulnérabilité de tous les systèmes informatiques devant la petite mort des malwares. Notons au passage la cartographie des activités malignes par segment IP ... adresses non routables y comprises. Certains havres de paix sont étonnamment préservés de toute pollution. Cela n'a rien d'étonnant, ce sont soit des classes d'opérateur, totalement opaques, soit des classes universitaires et de recherche non reliées à l'Internet public -la classe 44 par exemple-, soit des zones gouvernementales isolées du monde... ou du moins des sondes et sniffers. Quittons Allegro les botnets avec une note optimiste -ma non tropo- donnée par cette communication universitaire de Georgia Tech : « BotSniffer: Detecting Botnet Command and Control Channels in Network Traffic ». Ce travail est en train d'aboutir sur une solution logicielle véritable, capable de situer avec précision la position réseau d'un CCS. L'outil est un plug-in de Snort, le taux de « faux positifs » serait, assurent les chercheurs, excessivement bas. Les impôts surtaxés par les attaques en fishing titre fortissimo le Focus. Encore un parasitisme se développant sur une infrastructure d'Etat. Erreur des Contributions en votre faveur, recevez FF 20 000. Pour ce faire, passez par la case « je donne mon numéro de compte en banque ». C'est là de l'ingénierie sociale, du bluff, du boniment d'escroc qu'un antivirus ne peut en aucun cas détecter. Là encore, c'est la « visibilité » de l'institution qui est mise en cause : « l'IRS (le fisc US), c'est une marque, tout comme IBM ou toute autre entreprise » vulgarise l'un des spécialistes interrogé par Bob Lemos. Et l'image de marque, son honorabilité est un blanc seing qui camoufle les dessous peut esthétiques d'une attaque classique. Encore une Scandale Scada Scabreux ? C'est Staccato que le New York Times, repris par Wired, nous narre l'histoire de hack boursicoteur pouvant s'achever en crack boursier. Des pirates d'une filière Ukrainienne ont espionné les machines d'un groupe financier travaillant avec un cabinet d'analyse de marché spécialisé dans le secteur pharmaceutique. Non pas pour y collecter des adresses ou des numéros de compte, mais pour jouer à la baisse les cours du cabinet en question. Une sorte de fabrication de « droit d'initié sur mesure », une variante de l'affaire Haephrati avec spyware à la clef. Là encore, ce ne sont pas les infrastructures du Stock Exchange qui sont visées... mais de menus bénéfices discrètement subtilisés dans le brouhaha général des échanges d'actions. Le scénario Die Hard 4 n'intéresse personne, d'autant plus qu'il est un peu plus compliqué de router du gaz dans des tuyaux que des données comptables sur des routeurs administrables. Le savant-fou souhaitant la ruine d'un pays n'existe plus. Les colonies de sangsues cherchant à aspirer quelques subsides d'une plaie informatique sont en revanche aussi nombreuses qu'agressives. Le risque Scada existe donc, mais l'attaquant n'était pas celui que l'on croyait.

*Note de la Correctrice : Bien sur, l'on doit dire « l'Etat s'émeut » ! Mais l'émeu étant une sorte d'autruche, l'on aurait pu craindre là une allusion à l'attitude de certains politiques face aux problèmes de hacking bancaires ou de fichiers Excel trafiqués. Ce n'est pas le genre de la maison.