En 2015, les attaquants russes ont pu causer des pannes d’électricité qui ont affecté 230 000 résidents à cause de logiciels de contrôle à distance distribués via des attaques de spear-phishing.
Ce fut un évènement sans précédent, rappelant aux organismes gouvernementaux et aux services publics ce que les pirates informatiques peuvent faire plus que simplement de voler des données. Les attaques avaient affecté les infrastructures et ouvert la voie à de futures attaques contre les systèmes de contrôle et d’acquisition de données (SCADA).
La nouvelle cyberattaque en mars contre le réseau électrique américain
L’attaque qui s’est produite en mars contre l’infrastructure des services publics américains a mis en évidence que les organisations fédérales devraient prendre des précautions pour se protéger contre les menaces cybercriminelles courantes. Ladite attaque a profité des erreurs de configuration du pare-feu pour permettre à un attaquant de redémarrer en continu le système informatique.
Les pannes n’ont été que très brèves (à cinq minutes d’intervalle), mais le problème a persisté pendant 10 heures. L’attaque n’a pas été aussi dévastatrice que celle qui s’est produite en Ukraine, mais elle a rappelé que les paramètres du pare-feu et du firmware (micrologiciel) devaient toujours être revus régulièrement pour pouvoir les corriger en cas de besoin et pour éviter les éventuelles menaces cybercriminelles.
La North American Electric Reliability Corporation (NERC) a publié un document sur les « leçons apprises » de cette attaque. Ce document a rappelé ce qui s’était réellement passé et ce que l’organisation ciblée a fait pour remédier à l’incident. Le document a révélé que le problème était lié aux vulnérabilités des pare-feu. Plusieurs kits d’exploitation ont été ainsi exécutés via des scripts accessibles à toute personne, même celles qui ont des compétences limitées pour pouvoir les exécuter. Pourtant, ces kits d’exploitation pouvaient être utilisés par les pirates pour détecter les erreurs de configuration de l’infrastructure.
Mise à jour des pare-feu à l’aide des derniers firmwares
Au fur et à mesure que les entreprises se développent, il n’est pas rare que le personnel informatique perde le contrôle de l’infrastructure sur l’ensemble du réseau. Chaque pare-feu doit être vérifié et testé pour déceler les vulnérabilités, mais surtout pour rechercher les problèmes connus. Quant aux fabricants, ils publient souvent les problèmes de cybersécurité trouvés dans les infrastructures et les solutions adaptées pour les corriger. Si les services informatiques des entreprises ne tiennent pas compte des dernières menaces, des correctifs et des nouvelles solutions offertes par les fabricants, leur organisation pourrait être exposée à des attaques connues.
Il est essentiel que le personnel des services informatiques prenne toujours le temps d’examiner et de vérifier vos équipements. Les attaquants créent des scripts qui analysent des milliers de machines à la recherche de vulnérabilités. Puis, les scripts peuvent être rendus publics, ce qui permet aux attaquants, même ceux qui ne disposent pas d’une connaissance approfondie en informatique, de les exécuter et affecter les infrastructures informatiques. Et sachez que les attaquants non qualifiés peuvent causer autant de problèmes que ceux qui sont qualifiés lorsque des scripts publics sont disponibles.
Leçons apprises par le NERC qui peuvent aider d’autres organismes
Les dispositifs concernés étaient tous des équipements périmétriques. En effet, il s’agissait de routeurs critiques orientés vers le public et qui ont été utilisés pour empêcher le trafic de se répandre sur le réseau privé. Ces dispositifs font souvent l’objet d’analyses continues lorsque des attaquants du monde entier cherchent des vulnérabilités. Le personnel informatique peut cependant identifier les risques en matière de cybersécurité. L’examen des journaux et la mise en place de notifications devraient, par exemple permettre de détecter toute fuite suspecte de trafic du réseau local.
Après avoir lu les journaux, le personnel informatique en charge de la gestion de l’infrastructure des services publics américains a pu déployer rapidement un correctif qui a arrêté les redémarrages non autorisés du système. Les redémarrages eux-mêmes n’ont pas causé de problèmes perceptibles au niveau des consommateurs, mais ils ont coupé les communications entre les composants des services publics et les ingénieurs. Si les attaquants ont pu remarquer des temps de réponse lents de la part des utilisateurs et des responsables informatiques, ils pourraient lancer des attaques plus critiques contre l’infrastructure, causant des dégâts importants liés à une panne de courant sur un réseau.
Les pare-feux périmétriques sont des mécanismes mondiaux de défense pour la cybersécurité, de sorte que les leçons tirées de l’incident du NERC peuvent être appliquées à toute organisation. La première leçon à tirer est de toujours vérifier et corriger les pare-feu. Le personnel informatique peut passer en revue les fournisseurs de pare-feu spécifiques à l’équipement qu’ils utilisent ou consulter le site Common Weakness Enumeration pour être à l’affût des derniers problèmes connus en matière de cybercriminalité.
Avant de déployer toute solution, y compris les correctifs, le personnel informatique doit aussi tester les impacts des changements dans leur environnement informatique. En effet, les correctifs qui présentent des erreurs de configuration peuvent aussi être des sources de vulnérabilités que les attaquants peuvent exploiter.
Limitation de la surface d’exposition
La plupart du temps, les organisations disposent d’une zone démilitarisée (DMZ) où l’équipement destiné au public est placé à l’extérieur du réseau interne, mais ce concept a des limites. Seuls les systèmes nécessaires au public devraient se trouver à l’extérieur des pare-feux périmétriques.
Tout employé ou fournisseur qui a besoin d’accéder au réseau interne de l’extérieur devrait utiliser un VPN. Ceci protégera l’infrastructure informatique contre l’écoute clandestine où les attaquants pourraient éventuellement obtenir des identifiants d’utilisateur au cas où il accèderait au réseau local.
Enfin, les configurations de pare-feu doivent utiliser des listes de contrôle d’accès ou « Access Control List » pour ne permettre qu’aux utilisateurs autorisés d’accéder à votre infrastructure informatique. Utilisez une liste blanche d’adresses IP (si possible) pour limiter le trafic entrant et empêcher l’accès à partir de lieux inconnus. Les règles de pare-feu devraient pouvoir bloquer tout le monde, sauf les adresses IP sur la liste blanche, ce qui arrête de nombreuses attaques, y compris celle qui s’est produite récemment contre sur le réseau américain.
La sécurité à plusieurs niveaux est essentielle
Pour réussir, une cyberattaque doit contourner tous les systèmes de sécurité que vous aurez mis en place. Cela exige souvent des connaissances et de la persévérance de la part des pirates informatiques. Aujourd’hui plus que jamais, les professionnels de l’informatique ont donc besoin de redoubler de vigilance et superposer plusieurs couches de sécurité. Seule une approche de sécurité à plusieurs niveaux peut vous fournir la protection dont vous avez besoin contre les cybermenaces qui sont de plus en plus sophistiquées.