Des rançongiciels de « validation de principe » pour empoisonner le réseau de distribution d’eau

Les rançongiciels constituent un problème de taille.

Des attaques de grande envergure ont visé des entreprises et des particuliers à travers le monde et ont chiffré leurs fichiers. Les victimes ont ensuite dû reverser d’importantes sommes d’argent pour récupérer leurs données.

Les auteurs des extorsions empochent alors une fortune, car les utilisateurs d’ordinateurs et les entreprises se sentent contraints de payer s’ils n’ont pas pris les mesures préventives appropriées avant que l’attaque ne se produise.

Il s’agit du monde dans lequel nous vivons actuellement. Mais à quoi pourrait ressembler l’avenir du rançongiciel ?

Cette semaine, des chercheurs du Georgia Institute of Technology ont tenté de le dépeindre en dévoilant leurs travaux relatifs au mode opératoire d’une attaque potentielle de systèmes de contrôle industriels par un rançongiciel. Ils ont ainsi présenté les méthodes que pourraient employer de nouveaux logiciels malveillants pour cibler des infrastructures essentielles et prendre en otage des villes entières.

Dans leur rapport, intitulé « Out of Control: Ransomware for Industrial Control Systems » (Hors de contrôle : des rançongiciels conçus pour les systèmes de contrôle industriels), les chercheurs décrivent la façon dont ils ont procédé pour mettre au point leur propre rançongiciel de démonstration de faisabilité, capable de prendre le contrôle d’une station fictive d’épuration des eaux et d’empoisonner le système de distribution des eaux.

« Nous sommes parvenus à simuler l’attaque d’un pirate informatique qui se serait introduit dans cette partie du système, la retenant en otage en menaçant de déverser de grandes quantités de chlore dans l’eau, à moins que l’opérateur ne paye une rançon. Une teneur en chlore appropriée permet de désinfecter l'eau et de la rendre potable. En revanche, une teneur excessive en chlore pourrait entraîner une réaction chimique nocive qui rendrait l’eau impropre à la consommation ».

https://www.youtube.com/watch?v=t4u3nJDXwes&rel=0

La menace d’une telle attaque, qui mettrait évidemment la sécurité de la population en danger, pourrait entraîner l’exigence d’une rançon d’un montant bien supérieur à celles généralement demandées aux entreprises et aux particuliers.

Même si le risque de pertes humaines reste faible, celui représenté par une attaque industrielle causée par un rançongiciel et entraînant des temps d’arrêt, le dysfonctionnement d’équipements et la mise en danger de la sécurité de travailleurs pourrait en faire une cible de choix pour certains criminels.

Les réseaux de systèmes de contrôle industriels, ainsi que les établissements scolaires et hospitaliers, ont toujours éprouvé des difficultés à suivre l’évolution des pratiques de sécurité modernes pour lutter contre les attaques numériques. Dans le cas des établissements scolaires et hospitaliers, ce retard est souvent dû à un manque de moyens. Néanmoins, pour ce qui est des réseaux de systèmes de contrôle industriels, cette situation est plus probablement liée à la relative rareté d’attaques à l’échelle mondiale et au sentiment que les menaces dans ce domaine sont très limitées.

Toutefois, si des criminels se mettaient à considérer les systèmes de contrôle industriels comme une poule aux œufs d’or, la situation pourrait changer très rapidement. Les services d’utilité publique pourraient alors se rendre compte que les pirates informatiques issus d’autres pays, financés par des états, ne sont pas les seuls à s’intéresser au piratage de leurs réseaux.

Tout comme l’explique Mark James, spécialiste de la sécurité chez ESET, il ne faut pas perdre son sang-froid et prendre des mesures bien réfléchies afin de réduire l’exposition aux menaces en adoptant une défense multicouche :

« En règle générale, les logiciels malveillants ciblés sont configurés et destinés à s’en prendre à une industrie ou un secteur bien définis. Compte tenu de l’importante numérisation de la gestion et de l’entretien des industries, ces attaques pourraient avoir des conséquences désastreuses si le pire cas de figure venait à se concrétiser. Néanmoins, il en va de même pour tous les secteurs susceptibles d’être la cible des rançongiciels : ces derniers doivent pouvoir s’installer et être en mesure d’acquérir un contrôle total. En prenant les mesures de sécurité adéquate, il est possible de limiter le vecteur d’attaque et de mettre en place des systèmes mécaniques à sécurité intégrée pour contrecarrer toutes les stratégies pouvant être développées par un logiciel. »

« Tous les environnements de notre monde numérique sont susceptibles d’être visés par des attaques et doivent être protégés. La mise à niveau régulière des systèmes d’exploitation, des applications et des logiciels de sécurité constitue l’une des premières lignes de défense. Néanmoins, cette recommandation est souvent négligée ou tout simplement impossible à respecter dans le cas des systèmes sur mesure conçus pour effectuer une tâche précise. »

Les attaques de rançongiciels contre des systèmes d’épuration des eaux ne sont pas encore une réalité. Il est important de préciser que l’attaque des chercheurs a été menée dans le cadre d’une simulation, pas dans une situation réelle. Toutefois, en dépeignant de façon inquiétante ce que pourrait être l’avenir, ils ont sans doute contribué à sensibiliser les acteurs chargés de la protection des infrastructures essentielles concernant la gravité de la menace.

Comme toujours, il est bien plus simple de prendre les devants pour limiter les risques dès maintenant, plutôt que de payer les pots cassés plus tard.