Newsletter cybersécurité des Systèmes de Contrôle Industriel (ICS) #1 – Que retenir de 2017 ?

CyberX lève 18 millions de dollars dans la lutte contre les menaces visant les IIOT et infrastructures critiques, portant son financement total à 30 millions de dollars (CyberX, 27 Février)

CyberX a annoncé une levée de fonds de 18 millions de dollars, dans le but de développer des outils de détection de menaces dans le domaine des IIOT (Industrial Internet of Things) et des infrastructures critiques. Cette entreprise développe une plateforme de surveillance des menaces et réduction des risques, qui incorpore des modules de threat intelligence spécifiques aux ICS. Lien vers le communiqué de presse

Jouons avec Modbus 0x5A (Blog Security Insider, 9 Février)

Lors de la dernière édition de la DefCon à Las Vegas, Wavestone a présenté une étude sur la sécurité du protocole ModBus, et plus spécifiquement sur la fonction 90. Grâce à cette fonction, un attaquant pourrait démarrer ou arrêter un contrôleur, ou le forcer à envoyer en sortie une donnée prédéterminée. Lien vers l’article

Résultats de l’ICS Detection Challenge (Dale Peterson, 7 Février)

En Janvier, la conférence S4x18 a hébergé l’ « ICS Detection Challenge ». Quatre entreprises ont répondu au défi lancé : Claroty, Gravwell, Nozomi Networks et Security Matters. La première partie du défi consistait en l’évaluation de trois produits de détection ICS : Claroty, Nozomi Networks and Security Matters, et fut remportée par Claroty Les produits présentés par les compétiteurs devaient détecter des cyberattaques et incidents touchant une entreprise du domaine de l’énergie. Lien vers les résultats

Une compagnie des eaux Européenne touchée par un malware de minage Bitcoin (eWeek, 7 Février)

Un malware de minage Bitcoin a été détecté par  l’entreprise de cybersécurité Radiflow au sein des réseaux d’un fournisseur d’eau Européen. Dans un premier temps, ce malware a été téléchargé depuis un site publicitaire infecté, puis s’est propagé au réseau SCADA, qui fonctionnait toujours sous Windows XP. Le malware dégradait la performance du système, mais les opérateurs de la compagnie ne l’avaient pas encore remarqué. Lien vers l’article

Le distributeur d’énergie ukrainien prévoit 20 millions de dollars pour un plan cyberdéfense (Reuters, 6 Février)

 Le distributeur national d’énergie en Ukraine, Ukrenergo, qui a été la cible de nombreuses cyberattaques ces deux dernières années  (Décembre 2016 et Décembre 2017), va investir 20 millions de dollars dans un nouveau système de cyberdéfense. Les dirigeants d’Ukrenergo ont indiqué avoir identifié, avec l’aide de consultants à l’international, environ 20 menaces pour sa sécurité qui seront adressées par le nouveau système. Le principal objectif est de rendre « physiquement impossible la perturbation du système énergétique Ukrainien par des menaces extérieures ». Lien vers l’article

Une étude publiée sur l’augmentation du nombre de systèmes industriels accessibles depuis Internet (Security Week, 2 Février)

 Un rapport publié par Positive Technologies explique que le nombre d’ICS accessibles depuis Internet a augmenté de manière significative en une année. La plupart des vulnérabilités de ces systèmes pourraient être exploitées à distance, sans qu’aucun privilège ne soit requis. Les principaux types de vulnérabilités sont l’exécution de code à distance (24%), la divulgation d’informations (17%), et les débordements de tampon (12%). La plupart de ces systèmes sont accessibles via HTTP, mais également par le protocole Fox (protocole de construction automatisée, lié au framework Niagara), Ethernet/IP, BACnet, et Lantronix Discovery Protocol. Lien vers l’article | Lien vers le rapport [PDF

Un faille dans un logiciel de stations essence permet à des hackers de changer les prix, voler du carburant et supprimer les traces de leur passage. (Motherboard, 31 Janvier)

Des chercheurs en sécurité informatique ont réussi à se connecter à une interface web de gestion d’une station essence grâce à Shodan (moteur de recherche des objets connectés). Après avoir utilisé les identifiants administrateurs par défaut, puis un nom d’utilisateur et son mot de passe codés en dur, les chercheurs ont stoppé les pompes à essence, intercepté des paiements par carte bancaire et volé  les numéros de ces cartes. Lien vers l’article

Le gouvernement britannique appelle les industries sensibles à se préparer aux cyberattaques (Sky news, 29 Janvier)

Toutes les entreprises engagées dans des industries critiques et services essentiels, tels que l’énergie, les transports, l’eau, la santé et les infrastructures numériques, ont reçu une alerte du gouvernement britannique, annonçant que des sanctions seraient prises si celles-ci n’intègrent pas des règles de cybersécurité à leurs systèmes.

Les premières amendes vont être émises alors  que le gouvernement retranscrit la directive NIS (Network and Information Systems), permettant ainsi de couvrir des évènements semblables aux attaques WannaCry. Lien vers l’article

Les outils de gestion de licences Gemalto exposent des ICS et entreprises à des attaques (Security week, 22 Janvier)

Les chercheurs du Kaspersky Lab ont détecté 14 vulnérabilités dans le produit logiciel Gemalto Sentinel LDK et le matériel USB Dongle (SafeNet) associé. Le dongle USB est utilisé pour activer le logiciel. Une fois le matériel connecté, des drivers sont installés et le port 1947 est ajouté aux exceptions du pare-feu local de Windows. Ce port peut par la suite être utilisé pour identifier des équipements accessibles à distance. Lien vers l’article

Le ransomware SamSam touche des hôpitaux, municipalités et entreprises ICS (Bleeping Computer, 19 Janvier)

L’entreprise Hancock Health a admis avoir payé la rançon demandée (d’un montant de 55.000$), bien que des sauvegardes des SI touchés aient été disponibles. Ce ransomware se propage par brute-forcing des connexions RDP. Lien vers l’article

Les systèmes industriels essaient de répondre à Meltdown et Spectre The Register, 18 Janvier 

Les vulnérabilités Meltdown et Spectre ont également eu des impacts sur les ICS. Certains fournisseurs ont décidé de communiquer publiquement sur leurs produits vulnérables (OSISoft par exemple) ; d’autres, tels qu’Emerson et General Electric, ont conservé ces informations pour leurs clients uniquement ;  certains enfin sont toujours en phase d’investigation afin de savoir si leurs produits sont vulnérables. Lien vers l’article
Pour plus d’ information sur les vulnérabilités Meltdown et Spectre,l’article de  Wavestone sur Security Insider peut être consulté

Des chercheurs détectent 147 vulnérabilités au sein de 34 applications mobiles SCADA SC Magazine, 11 Janvier

Des chercheurs d’ IoActive et Embedi ont trouvé 147 vulnérabilités dans 34 applications mobiles liées à des systèmes SCADA (Supervisory Control and Data Acquisition). Les principales vulnérabilités sont : possibilités d’altération du code, autorisations mal gérées, stockage des données non sécurisé… Ces failles de sécurité permettraient à un attaquant de compromettre les infrastructures d’un réseau industriel par le biais de ces applications vulnérables. Lien vers l’article

Nozomi, spécialisée dans la cybersécurité industrielle, lève 15 millions de dollars (Security Week, 10 Janvier)

Nozomi est une entreprise de cybersécurité industrielle, et avait déjà levé 23,8 millions de dollars récemment. Son offre, “SCADAguardian”, met en œuvre apprentissage automatique et analyse comportementale afin de détecter en temps réel des attaques 0day. Cette technologie permet de répondre rapidement aux alertes levées par les ICS. L’entreprise a annoncé que ces fonds supplémentaires seraient dédiés à l’extension géographique de son marketing, de ses ventes et de son support, ainsi qu’à l’innovation. Lien vers l’article

24-26 Avr.

London, UK

24-26 Avr.

Singapore

9-10 Avr.

Dubai, UAE

27-29 Mar.

Abu Dhabi, UAE

13-14 Mar.

London, U.K

6-7 Mar.

Houston, USA