mardi 14 septembre 2010

"Compteurs “intelligents” : quels risques ?

Virus informatiques, usurpations d'identité, hameçonnages, atteintes à la vie privée ou à la réputation, diffamations, vols de données, espionnage industriel ou politique, pédopornographie… le "piratage informatique", improprement qualifié de "cybercriminalité" (la majeure partie du temps, il s'agit plutôt de délinquance) attise les peurs des gens. Mais une nouvelle menace, aux conséquences bien plus dommageables, a commencé cet été à faire du bruit dans le Landerneau de la sécurité informatique : qu'adviendrait-il, en effet, si des millions, voire des dizaines de millions de foyers, étaient privés d'électricité plusieurs jours, voire plusieurs semaines durant ?
"Du point de vue de l'attaquant -gouvernement hostile, organisation terroriste ou de protection de l'environnement-, le meilleur moyen de s'attaquer à un pays est de lui couper l'électricité. C'est l'équivalent, cyber, d'une attaque nucléaire : quand il n'y a plus d'électricité, tout s'arrête."

Le scénario n'émane pas d'un roman de science-fiction, mais d'un professeur de Cambridge, Ross Anderson, l'un des experts les plus réputés en terme de sécurité informatique, et de Shailendra Fuloria, l'un de ses étudiants, spécialiste des systèmes SCADA (pour supervision, contrôle et acquisition des données).

Les systèmes de télégestion ne sont pas sûrs !

Créés pour permettre le contrôle à distance et la surveillance de processus industriels, la télégestion de systèmes d'approvisionnement, de transport et les canalisations de produits chimiques, de gaz, de pétrole, d'eau et d'électricité, les systèmes SCADA sont souvent perçus par les spécialistes de la sécurité informatique comme un maillon faible qu'auraient beau jeu d'exploiter des cyberterroristes, pirates informatiques ou hackers militaires.

En 2007, le projet Aurora avait ainsi démontré la possibilité de pirater le système SCADA d'un générateur électrique afin d'entraîner son autodestruction. Or, et comme le souligne l'un des experts interrogés dans ce documentaire de CBS, ces générateurs coûtent très cher, ils ne sont plus fabriqués aux Etats-Unis, et il faudrait des mois pour s'en procurer d'autres ou les réparer, ce qui aurait des conséquences non seulement économiques, mais également politiques :



En 2008, le Club de la Sécurité de l'Information Français (CLUSIF) évoquait, dans une étude sur les Enjeux de sécurité des infrastructures SCADA, plusieurs explosions dans des usines chimiques, le fait que des sites nucléaires, guichets automatiques bancaires, systèmes de signalisation ferroviaire avaient été perturbés par des vers informatiques, entraînant, dans un cas, l'arrêt de 13 usines d'assemblage de véhicules, dans un autre l'arrêt d'une station nucléaire. La présentation évoquait également plusieurs actes de malveillance ayant perturbé des feux de signalisation, systèmes d'approvisionnement en eau, et même la prise de contrôle et le déraillement, par un adolescent, de 4 wagons.

Dans une intervention intitulée Electricity for Free ? présentée lors du dernier Black Hat (l'un des symposiums les plus réputés en matière de sécurité informatique), en juillet dernier, Jonathan Pollet, spécialiste de la sécurité SCADA chez Red Tiger Security, a expliqué avoir identifié 38 000 problèmes de sécurité, lors de 100 audits, effectués sur 10 ans.

Alors que la "durée de vie" (c'est-à-dire le temps avant qu'il ne soit infecté ou compromis) d'un ordinateur non protégé est estimée à 4 minutes, pour Jonathan Pollet, "les systèmes SCADA sont bien moins sécurisés que les systèmes informatiques".

Au cours de ses audits, il a ainsi trouvé, sur des ordinateurs reliés à des systèmes SCADA, toute sorte de programmes qui n'avaient rien à y faire, mais qui pouvaient a contrario servir de vecteur ou de relais d'attaques : logiciels P2P ou de messagerie instantanée, scripts de téléchargement de vidéos pornographiques, et même des chevaux de Troie et autres "malwares".
"Ce n'est qu'une question de temps : d'ici peu, nous assisterons à bien plus d'attaques ou d'incidents sur des réseaux SCADA du fait de l'absence de mesures de sécurité, ou de systèmes de défense mal configurés. Il faut nommer des responsables sécurité de ces systèmes. C'est une bombe à retardement."
Découvert en juillet dernier, le vers Stuxnet serait le premier virus expressément créé pour infecter les systèmes SCADA. 60% des systèmes infectés auraient été situés en Iran. Pour Raphaël Marichez, de la société de sécurité HSC, Stuxnet constituerait "un tournant", ouvrant la voie à "des virus exploitant des vulnérabilités "grand public", avec la complicité de grandes firmes étrangères, pour cibler un système industriel précis".

A défaut de connaître son auteur, et donc savoir s'il s'agit bel et bien d'une tentative d'espionnage industriel, voire d'espionnage tout court, on notera que, toujours cet été, un rapport du ministère de l'énergie américain constatait que les infrastructures énergétiques américaines étaient vulnérables à des attaques informatiques, faute d'effectuer correctement les mesures basiques de sécurité censées les protéger, ou encore parce qu'elles sont reliées à l'internet, utilisent des systèmes d'exploitation grands publics, et des ordinateurs improprement sécurisés.

Stuxnet exploitait ainsi une faille Windows, et se propageait via des clefs USB préalablement contaminées (via l'internet, ou sciemment), dès lors qu'elles étaient connectées au PC, même si celui était pourtant à jour en terme de correctifs de sécurité. En 2009, la Marine nationale française avait ainsi dû couper son réseau après avoir été contaminée par un virus, introduit via une clef USB dans son système Windows, pourtant déconnecté du Net.

L'invasion des compteurs électr(ON)iques

Ross Anderson et Shailendra Fuloria ne s'intéressent pas tant aux systèmes SCADA, mais à ces compteurs "intelligents" (les guillemets sont de rigueur, lorsque l'on commence à doter d'"intelligence" des boîtiers électroniques), censés permettre d'effectuer des économies d'énergie et dont le développement est activement soutenu, outre-Atlantique, dans le cadre du plan de relance américain (qui y investit 3,4 milliards de dollars), et en Europe par une directive européenne de 2009, qui prévoit d'en équiper 80% des foyers à l'horizon 2020.

On dénombrerait ainsi, à ce jour, quelque 250 projets de compteurs "intelligents", 49 millions d'ores et déjà installés, et 800 millions en préparation, d'après la carte des expérimentations (triangles) et projets (ronds) de compteurs "intelligents" électriques (en rouge), de gaz (en vert) et d'eau (en bleu) dressée par meterpedia.com :

Or, ces compteurs "intelligents" commencent aussi à défrayer la chronique. Début août, la CNIL s'inquiétait ainsi des risques qu'ils faisaient poser en terme de traçabilité des usagers :
"Les informations de consommation d'énergie transmises par les compteurs sont très détaillées et permettent de savoir beaucoup de choses sur les occupants d'une habitation, comme leur horaire de réveil, le moment où ils prennent une douche ou bien quand ils utilisent certains appareils (four, bouilloire, toaster…)

Les compteurs communicants peuvent également agir directement sur l'installation électrique. Ils permettent notamment de modifier la puissance de l'abonnement, voire même de couper l'alimentation électrique à distance, via une interface web. Ces fonctionnalités devront être parfaitement sécurisées pour éviter toute utilisation frauduleuse."
Dans une étude (.pdf) sur la sécurisation du Smart Grid (ou "réseau intelligent", le système auquel se connecteront ces compteurs "intelligents"), la société IO Active identifie ainsi 10 risques en terme d'atteintes à la vie privée, à commencer par la surveillance, en temps réel des appareils électriques, et donc des habitudes comportementales de leurs utilisateurs, mais également les risques d'usurpation d'identité, de surveillance, d'espionnage, de malveillance ou encore de bug informatique, et autres problèmes de sécurité inhérents à tout système informatique en réseau.

Début septembre, plusieurs associations de défense des consommateurs critiquaient de leur côté la précipitation, qualifiée de "passage en force (et de) fuite en avant", avec laquelle le gouvernement avait décidé de généraliser le déploiement de Linky, le projet français, dont l'expérimentation devait durer jusqu'au 31 mars 2011, mais qui cumuleraient problèmes et erreurs, factures illisibles et parfois astronomiques (jusqu'à 3 voire 4000 euros, au lieu de 25 à 30, selon la Confédération Nationale du logement de Lyon, interrogée par le 7/9 de France Inter ce 10 septembre) :
"Le planning de pose dérape, les compteurs disjonctent un peu trop facilement et la transmission des données ne se fait pas. Comment réaliser un bilan complet au 31 décembre 2010, c'est-à-dire trois mois plus tôt que prévu, avant la pose de l'ensemble des compteurs expérimentaux et sans même les tester pendant la période hivernale ?"

Elles critiquent également le coût du compteur, estimé entre 120 et 240 euros, qui sera facturé aux usagers (à raison d'un ou deux euros par mois, sur 10 ans), et qui aurait été "pensé par et pour le distributeur ERDF et pas du tout au bénéfice du consommateur", qui devra, en plus, acheter un second boîtier s'il veut pouvoir mesurer, voire contrôler, sa consommation électrique :
"Au final, les avantages du compteur sont avant tout pour le distributeur ERDF et pour les fournisseurs, qui vont ainsi pouvoir proposer des services payants au consommateur pour suivre sa consommation électrique et de nouvelles offres tarifaires."

SOURCE : Internetactu.net

Aucun commentaire:

Enregistrer un commentaire