vendredi 25 mars 2011

SCADA : jusqu'ici tout va bien

En quelques mois, les problématiques de sécurité liées au cyberespace auront franchi un pas médiatique "historique". Les média et les individus ayant été majoritairement bercés par les images d'Épinal de type War Games (le film) ou 24H Chrono (la série), les rapprochements vers les frontières geekiennes ont pu ponctuellement se faire avec Die Hard 4 ("Piège de Cristal n°4" avec Bruce "Moumoutte" Willis) voire en regardant un reportage techno-utile sur Arte avec Kevin Mitnick ou Bruce Schneier en guests-star !

En 2010, on aura eu droit aux divers épisodes de Stuxnet, un "code" mystérieux qui semble avoir ciblé principalement le programme nucléaire iranien. Une certaine course aux scoops s'étant déroulée, on a assisté à des analyses de départ prudentes et factuelles pour terminer par un festival de thèses non-validées (le virus fut d'abord américain, puis chinois, et enfin israélien et pourquoi pas les trois à la fois ?) où l'on annonçait même une possibilité de Tchernobyl ou un projet de variante par les Anonymous, histoire de renforcer leur arsenal offensif.

Las, il faut une fois encore raison garder. Et essayer de poser les perspectives de la problématique "infrastructures critiques" (SCADA) qui vont des unités de productions électriques (de l'hydraulique au nucléaire), en passant par les infrastructures de transport terrestre, maritime ou aérien.

Les enjeux sous-tendus sont connus depuis plus d'une décennie et quelques spécialistes et experts en sécurité ont sérieusement étudié le sujet tant en France qu'à l'étranger. Les divers gouvernements et les grandes entreprises concernées disposent d'un ensemble d'éléments significatifs pour savoir que s'il n'y a pas péril en la demeure, les mesures à prendre ne sont pas de l'ordre de simples travaux de ravalement.

Lundi 21 mars, 34 exploits (de niveau PoC) ont été publiées sur Bugtraq ! Ceux-ci concernent des applications de Siemens, Iconics, 7-Technologies, Datac et Control Microsystems, toutes SCADA. Évidemment, d'intenses débats ont (eu) lieu, la plupart à propos du péché originel du full disclosure : publish or not publish, that is the question.

Il est difficile d'avoir une opinion tranchée sur un sujet qui dépasse largement le seul cadre de la technique (psychologie, morale/éthique, sociologie, etc.) mais je me rangerai plutôt à l'opinion de Roel Schouwenberg : on peut être contre la divulgation complète de vulnérabilités mais les entreprises concernées (éditeurs comme clients) ainsi que les pouvoirs publics doivent regarder les choses en face : les systèmes SCADA deviennent un sujet de plus en plus attractif d'une perspective "malveillances". Que ce soit pour de l'argent, du seul exploit technique ou de la valorisation de l'ego (et de son "image de marque").

On sait que la France ou l'Union Européenne s'intéressent de près à la protection des infrastructures critiques. Mais le font-elles sérieusement ? Ne vont-elles pas trop lentement ? Quelles actions concrètes pour quels résultats tangibles au bout de tant d'années ? Ces questions méritent d'être posées, il ne s'agit plus d'afficher ses bonnes intentions ou de publier des décrets qui demeurent, au mieux, des suites de caractère ! Aux acteurs concernés par ce sujet de premier plan de maintenant communiquer sur le sujet pour annoncer un plan d'actions.  Dans Paris Match ou ailleurs ! ;)

Edit : complémentaires à ce billet, je recommande sans réserve l'article de ZDNet et celui de Bluetouff.

Aucun commentaire: