Sécurité des réseaux

industriels
 Réseaux industriels
• Définitions
Système de télégestion a grande échelle permettant de traiter en temps réel un grand nombre de télémesures et de
contrôler a distance des installations techniques.

• Périmètre

Contrôle de commande d‘ équipements industriels (vannes, pompes, moteurs ,alarmes, etc.)

Processus industriels (plate-forme pétrolière / gaz, usines d'eau potable, stations d’épuration, barrages, écluses,
domaine militaire, etc.)

Cours Cyber Securité AVAL -Juin 2013

 Composants essentiels

• Organes a commander - vannes, pompes, etc.

• Automates (PLC), boitiers de télétransmission (RTU), systèmes
de sûreté/ sécurite (SIS)
• IHM (Interface Homme-Machine)
Supervision (WinCC, PC Win, PC Vue, etc.)
Programmation (Step7, PL7, Unity Pro, etc.)

• Transmission : protocoles Modbus, S7, IEC 104, CIP, DNP3

Cours Cyber Securité AVAL -Juin 2013

 Vannes et automates

• Organes télécommandes
Simple dispositif mécanique lie a une commande électrique télécommandable

• Automates
Schneider
Emerson
Siemens
Honeywell
Rockwell Automation / Allen-Bradley
Yokogawa

Cours Cyber Securité AVAL -Juin 2013

 IHM (Interface Homme-Machine
• Généralement des logiciels installes sur des postes
Windows (OPC / DCOM / RPC)
• IHM de développement
Fournit un environnement de développement pour la programmation
des automates
Permet la configuration des équipements (TCP/IP, Mots de passe,
adressage des équipements)

• IHM de supervision
Contient une vue partielle ou complète sur l’état du réseau industriel
Permet d'envoyer des actions préprogrammées aux automates
(arrêt/démarrage , etc.)
≪ Remplace ≫ les ≪boutons physiques ≫ locaux

Cours Cyber Securité AVAL -Juin 2013

IHM (Interface Homme-Machine)

Cours Cyber Securité AVAL -Juin 2013

 Convergence vers l’informatique industrielle

• Le monde du contrôle-commande intègre depuis plus de 15 ans les technologies de l'informatique et les
standards liés

• les stations des opérateurs, de maintenance sont de plus en plus basés sur des matériels et systèmes
d’exploitation d’origine Microsoft ou Linux.

• Le coût des systèmes diminue, leurs fonctionnalités s’enrichissent et leur intégration avec le monde de la
gestion de production et de maintenance se fait plus étroite.

• L’évolution rapproche les systèmes de contrôle-commande du monde extérieur et les rend plus
vulnérables à des intrusions et à des attaques de toutes natures.

L’informatique industrielle est devenue avec le temps aussi vulnérable que l’informatique de gestion

Cours Cyber Securité AVAL -Juin 2013

 Arrivée des standards de l’IT

• Evolution de réseaux industriels (bus de terrain) vers des réseaux informatique

(Ethernet & TCP/IP)
Au niveau des réseaux
Entraine toute la problématique liée a la sécurité sur IP
Permet la connexion sur Internet

Au niveau des équipements

Usage de matériels non spécifiques
Utilisation de Windows et Linux

Avantage de cette L’ évolution

Sur le plan des fonctionnalités et des coûts d’exploitation
Accès aux données de production et aux historiques depuis l’informatique de gestion

Accès distants, pour la collecte d’information, la configuration et la maintenance.

Ouverture au partenariat d’ingénierie à travers d’outils communicants.

Conséquence
Multiplication des points d’accès potentiels aux systèmes de contrôle

Cours Cyber Securité AVAL -Juin 2013

 Contexte humain
Population différente

• Les technologies IT
Sont ‘embarquées’ dans les systèmes de contrôle-process
Sont managés par les spécialistes processus, ou par les fournisseurs industriels.

• Les automaticiens
Axés sur la conduite des procédés
Pensent être protégés par la spécificité apparente de leurs outils et à leur fournisseur.
Peu préoccupés par les problèmes de protection contre les intrusions ou de logiciels malveillants, …

• Les équipes IT
Ne sont pas vraiment impliquées dans le design et la maintenance des systèmes de contrôle-
commande.

Cours Cyber Securité AVAL -Juin 2013

 Contexte humain
Population différente=Priorité différente

• Automaticiens et Informaticiens :
Langages différents
Cultures différents

• Automaticiens Parlent:
Fiabilité,
Sureté,
Machines,
Capteurs
• Informaticiens Parlent:
Disponibilité,
Intégrité,
Réseau TCP/IP,
Serveurs,
Firewall,
Virus,
Etc…

Cours Cyber Securité AVAL -Juin 2013

Les solutions standards de sécurité informatiques
sont-elle applicables ?

Les scénarios de risques sont particuliers au contrôle-commande

Les mesures de sécurité préconisées sont proches de celles connues dans la
sécurité informatique des systèmes de gestion .
MAIS !!!
les contraintes de mise en œuvre sont très spécifiques aux exigences de continuité
et de sureté de fonctionnement des SCADA et DCS
les mesures standards demandent des précautions très particulières de mise en
œuvre dans le monde des SCADA et DCS.
Application des corrections (patch),
Gestion des anti-virus,
Filtrage des flux

Cours Cyber Securité AVAL -Juin 2013

 Divers Attaque dans le monde :

• Attaques sur les pipelines de gaz américains

• Attaque contre L'IRAN (Virus Le virus Stuxnet contre
les systèmes informatiques industriels de l'iran)
• Attaque contre le système pétrolier saoudien ,visait
son système SCADA de production de pétrole (Une
cyber attaque qui a eu pour conséquence l’infection
par un virus de 30.000 postes de travail.)

Cours Cyber Securité AVAL -Juin 2013

Configuration Classique -Réseau

Cours Cyber Securité AVAL -Juin 2013

 Protocoles Utilisés
• Protocole Modbus/TCP
Spécifications publiques (http://www.modbus.org/specs.php)
Port TCP/502
Dialogue Maitre / Esclave
Identifiant Esclave SID (de 1 a 247)
Trame composée de l'adresse de l'esclave, le code fonction, les donnees,
un CRC
Fonctions de lecture / écriture en mémoire / registre / états, etc.
0x01 - Read Coils
0x02 - Read Discrete Inputs
0x05 - Write Single Coil
0x06 - Write Single Register
Pas d'authentification, ni chiffrement
Possibilité de contrôler l‘état des processus industriels

Cours Cyber Securité AVAL -Juin 2013

 Protocoles Utilisés
• Protocole IEC 104
Ressemble a Modbus
Caractéristiques
Port TCP/2404
Relation Maitre / Esclave
Numero d'ASDU (Application Service Data Unit) de 1 a 65534
Pas d'authentification, ni chiffrement
Outil public QTester104 (http://sourceforge.net/projects/qtester104/)
Implémente le protocole IEC60870-5-104 pour l'acquisition de données de sous-station et le contrôle via
réseau TCP / IP en utilisant le Framework UI QT. Il peut être compilé sur les plateformes Linux et Windows. Il est
possible d'interroger et afficher des données à partir du système de poste (RTU / concentrateur) et également
envoyer des commandes.

Cours Cyber Securité AVAL -Juin 2013

 Protocoles Utilisés
• Protocole S7
Ressemble au Modbus
Caractéristiques
Spécifications non publiques
(Mais existence de la bibliotheque Libnodave)
http://sourceforge.net/projects/libnodave/

Port TCP/102
Fonctions de lecture / écriture
Fonctions stop / run mode sur l'automate
Pas d'authentification, ni chiffrement

Cours Cyber Securité AVAL -Juin 2013

 Protocoles Utilisés
• Protocole Ethernet/IP CIP
• Caractéristiques
• Ports TCP/44818, UDP/44818, UDP/2222
• Pas d'authentification, ni chiffrement
• Envoi de commandes
STOPCPU
RESETETHER
Etc.

Cours Cyber Securité AVAL -Juin 2013

 Protocoles Utilisés
• Protocole DNP3 (IEEE Std 1815)
Caracteristiques
http://www.dnp.org/
Protocole ouvert
Port TCP/20000
Initialement prévu pour l'industrie électrique
(Adopter et déployer dans les autres secteurs)
Maitre / Esclave
Chaque équipement est adresse par un numéro de 0 a 65534
Fonctions de lecture / ecriture / transfert de fichiers
Securité DNP3
Chiffrement / Authentification mutuelle
HMAC / TLS
IEC 62351-5 compliant
Data and Communication Security

Cours Cyber Securité AVAL -Juin 2013

• Quelle Sécurité avons-nous ?

Cours Cyber Securité AVAL -Juin 2013

 Architectures
• Architectures Souhaitée

• Tout repose sur le filtrage entre les 2 Réseaux

Ne bloque pas les attaques depuis le réseau industriel (ver / virus /
homme, etc.)
Problème des accès distants (astreinte, capteurs extérieurs,
équipements sur Internet)

Cours Cyber Securité AVAL -Juin 2013

 Automates PLC
• Plusieurs ports ouverts
21/TCP, 23/TCP, 80/TCP, 502/TCP, 1864/TCP, 4443/TCP,
5190/TCP,5566/TCP
• Mots de passe codes en dur
Dans le code Java
Requête FTP
Récupération de namspace.dat, index.gdt
Compte sysdiag
Permet de se connecter a l’ équipement pour
Récupérer les comptes/mot de passe applicatifs (en clair)
Fichier password.rde, etc.
Récupérer/modifier le firmware
Etc

Cours Cyber Securité AVAL -Juin 2013

 Automates PLC
• Les autres marques / modèles sont sensibles aux mêmes
types de vulnérabilités
• Ont généralement des ports ouverts
FTP pour la modification du firmware
Mises a jour de fonctionnalité, pas de sécurité
• Telnet
• Web (Possibilité d'avoir une mini IHM)
• Modbus, etc.
• SNMP
• Plantages
connect() scan → perte de l'interface réseau
Pile IP pas fiable (ping of death, Land attack, etc.)
DoS via une commande listant les fichiers récursivement
• Nécessite un reboot manuel
Cours Cyber Securité AVAL -Juin 2013
 Failles impactant les IHM
• Stuxnet & WinCC/Step7
Mot de passe par défaut sur le SGBD
• Vulnérabilités
Samsung Data Management
• Injection SQL , contournement de l'authentification
PC-Vue, CoDeSys, RealWin, etc.
• buffer overflow, etc.
BroadWin WebAccess
• Exécution de code a distance
Systèmes Windows généralement pas a jour

Cours Cyber Securité AVAL -Juin 2013

 Culture de Sureté ou sécurité
• Pas d’arrêt: fonctionnement 24/24, 7/7, 365j/an
Pas d'antivirus (cela empêche le bon fonctionnement, ralentissement)
Pas de mise a jour (ca va plus marcher)
Tout est base sur la sureté : des vies sont en jeu
Pas de veille techno (sauf pour les nouvelles fonctionnalités)
Sécurité = sécurité physique
Problème de l'astreinte et des accès distant

• Sécurité physique
Pas d‘ accés a l'automate : présence de barrières
≪ Même si on pouvait, autant aller ouvrir la vanne a la main, elle est
dans les mêmes locaux ≫
Population non sensibilisées a des risques informatiques : ver/virus,
accès externes

Cours Cyber Securité AVAL -Juin 2013

Cours Cyber Securité AVAL -Juin 2013
 Tests de Vulnérabilités Sur un réseau Industriel

• Accès au Modbus
reprogrammation des automates / du processus industriel
• Accès aux différentes interfaces administratives
Mots de passe généralement par défaut
Utilisation des mots de passe codes en dur
Récupération des informations sensibles
• Prise de contrôle des machines Windows et Unix / Linux
Correctifs de sécurité pas appliques
Politique de mots de passe inexistante
Compromission via la base de donnees
• Compromission des IHM
Contrôle du processus industriel

Cours Cyber Securité AVAL -Juin 2013

Scenario d’attaque

Cours Cyber Securité AVAL -Juin 2013

Quelle Architecture Adopté pour Sécuriser
notre Réseau ?

Cours Cyber Securité AVAL -Juin 2013

Architecture Sécurisée
Scénario 1

Cours Cyber Securité AVAL -Juin 2013

Architecture Sécurisée
Scénario 2

Cours Cyber Securité AVAL -Juin 2013