Syndrome Stuxnet et problèmes de communication. L'histoire édifiante du dernier bogue sur les systèmes Scada chinois
Par Dominique BOURRA
Au cours de ses travaux, Dillon Beresford -ici- , un jeune analyste américain basé au Texas, identifie une faille dans un système SCADA fabriqué par la société chinoise Wellintech -ici- basée à Pékin (les systèmes scada permettent la surveillance et le contrôle à distance des processus industriels. Ceux du géant allemand Siemens, ont gagné une notoriété planétaire après avoir été visés par le virus Stuxnet l’an dernier). Le jeune analyste américain mentionné plus haut, exerce ses talents au sein de NSS Labs (ici), un grand laboratoire de tests et d’analyses de menaces cybernétiques basé à Austin, Texas; il dispose donc de tous les moyens pour effectuer des diagnostics irréfutables.
Lors de sa découverte en septembre 2010, en pleine affaire Stuxnet, il décide d’informer immédiatement les chinois de l’existence de cette vulnérabilité sur leurs systèmes afin d’éviter toute catastrophe future. Il envoie donc le 28 septembre un mail d’alerte au CERT chinois -ici -(Les « Computer Emergency Response Team » sont des centres d’alerte et de réaction aux attaques informatiques présents dans chaque pays) ainsi qu’au CERT américain ; l’USCERT ici.
Le système chinois concerné est l’une des applications SCADA les plus utilisées en Chine dans les processus industriels. L’existence en son sein d’une vulnérabilité critique telle que celle mise à jour par le jeune analyste américain, permet théoriquement à des pirates d’exploiter le bogue en injectant des codes aléatoires à des fins de sabotage (selon les mécanismes décrits dans l’affaire Stuxnet, puisque dans ce dernier cas le virus pénétrait les systèmes grâce à 4 vulnérabilités inconnues). L’information révélée par Beresford aurait donc du susciter une réaction immédiate côté chinois compte tenu de la gravité des enjeux…
Au lieu de cela il s’est écoulé plusieurs mois avant qu’un patch ne soit édité pour corriger la vulnérabilité découverte en septembre. Le CERT chinois, qui n’avait tout simplement pas vu le courriel, a d’ailleurs reconnu son erreur et indiqué qu’il recevait chaque jour des milliers de mails ce qui n’excusait pas pour autant l’omission d’un message d’une telle importance.
En fait c’est Art Manion, un membre du CERT américain, employé au SEI -ici- un centre de recherche de pointe proche du ministère de la défense US -ici- , qui en novembre dernier a fini par avertir son homologue chinois du fameux bogue sur les systèmes de contrôles chinois. Le CERT chinois a ensuite contacté le constructeur pékinois Wellintech pour l’informer de la faille dans sa solution. Un patch a donc été réalisé très rapidement en décembre, mais l’information utile vient juste d’être rendue publique cette semaine et les légers dysfonctionnements en cascade ont été dévoilés par la même occasion sur « threat post », le site d’informations de Kaspersky Labs ( ici). Un cas d’école à méditer en l’an I de « l’ère Stuxnet ».
Dominique Bourra, CEO of NanoJV.
Copyrights Nanojv: http://nanojv.com
commenter cet article …