Quel rapport y-a-t'il entre la 21st Century Tower à Dubaï, l'aéroport Changi à Singapour, l'hôpital universitaire James Cook à Middlesbrough en Angleterre ou bien un dépôt géant de munitions de l'armée de terre américaine en Pennsylvanie ? A première vue, aucun et pourtant un point commun relie ces lieux et ces ouvrages fonctionnellement très différents. Ce lien s'appelle le système Niagara de la société
Tridium et peut être considéré comme une sorte de "télécommande
universelle" pour d'innombrables équipements électroniques.
Dans 52 pays, un peu plus de 11 millions de ces dispositifs, au premier rang desquels l'on trouve des systèmes permettant le contrôle de dispositifs anti-incendie, de climatiseurs, d'ascenseurs, d'éclairage, des frigos et des congélateurs, mais aussi des pompes à carburant, de la vidéosurveillance, des détecteurs anti-intrusions, voire des systèmes médicaux critiques ou des détecteurs de vapeurs chimiques (comme pour le dépôt géant de munitions de Tobyhanna). La Défense toujours puisque Niagara fournit également des dispositifs de surveillance et de contrôle des accès dans des installations de "haute sécurité".
Après plus d'un mois d'enquête, comme l'on souhaiterait en lire plus souvent, le New York Times vient de sortir un scoop : si Niagara offre une variété de services et a apporté une véritable révolution par le pilotage d'équipements à distance, la sécurité est dorénavant une énorme inquiétude. Le risque étant une connexion de l'un de ces systèmes dit d'automation à Internet (si ses services web sont disponibles). Niagara comporte un peu plus de 4 millions de lignes de codes et des vulnérabilités ont été mises en évidence il y a environ un an. Pour des raisons assez évidentes, l'information était restée confidentielle. Ces vulnérabilités pourraient conduire à des fuites de données ou une escalade des privilèges (et donc la prise de contrôle du ou des systèmes visés).
Un document de la société aimablement qualifié de "bonnes pratiques", et envoyé discrètement à ses clients le 3 juillet 2012, ne sera pas resté longtemps confiné au seul "cercle Niagara". Une alerte de l'US-CERT vient également d'être publiée (vendredi 12 juillet) , soulignant le caractère exceptionnel de la découverte. Cette alerte confirme, une fois encore, l'émergence du phénomène des automates pilotés (PLC / SCADA / DCS) qui sont de plus en plus connectés et/ou de plus en plus soumis à un véritable attrait technique à des fins de "simples" exploits ou, plus graves, criminelles. La sécurité par l'obscurité ou la vraie-fausse sécurité du "nos systèmes ne sont pas connectés (à Internet)" tient de moins en moins la route et risque, dans un avenir proche, d'ébranler de nombreuses certitudes irresponsables mais coupables.
Après plus d'un mois d'enquête, comme l'on souhaiterait en lire plus souvent, le New York Times vient de sortir un scoop : si Niagara offre une variété de services et a apporté une véritable révolution par le pilotage d'équipements à distance, la sécurité est dorénavant une énorme inquiétude. Le risque étant une connexion de l'un de ces systèmes dit d'automation à Internet (si ses services web sont disponibles). Niagara comporte un peu plus de 4 millions de lignes de codes et des vulnérabilités ont été mises en évidence il y a environ un an. Pour des raisons assez évidentes, l'information était restée confidentielle. Ces vulnérabilités pourraient conduire à des fuites de données ou une escalade des privilèges (et donc la prise de contrôle du ou des systèmes visés).
Un document de la société aimablement qualifié de "bonnes pratiques", et envoyé discrètement à ses clients le 3 juillet 2012, ne sera pas resté longtemps confiné au seul "cercle Niagara". Une alerte de l'US-CERT vient également d'être publiée (vendredi 12 juillet) , soulignant le caractère exceptionnel de la découverte. Cette alerte confirme, une fois encore, l'émergence du phénomène des automates pilotés (PLC / SCADA / DCS) qui sont de plus en plus connectés et/ou de plus en plus soumis à un véritable attrait technique à des fins de "simples" exploits ou, plus graves, criminelles. La sécurité par l'obscurité ou la vraie-fausse sécurité du "nos systèmes ne sont pas connectés (à Internet)" tient de moins en moins la route et risque, dans un avenir proche, d'ébranler de nombreuses certitudes irresponsables mais coupables.
1 commentaire:
En janvier un fichier pastebin était déjà sorti avec tout un tas de SCADA Niagara accessibles librement.
http://www.blog.ead-minerve.fr/?p=901
Cordialement
Enregistrer un commentaire