vendredi 15 février 2008

Sécurité des systèmes informatiques industriels


Le temps passe et j'avais oublié un sujet qui m'était cher : l'impact de l'interconnexion des infrastructures industrielles aux systèmes d'information et internet. Et puis, au cours de ce dernier mois, plusieurs informations américaines ont éveillé mon attention.
La première rapportait les propos de Tom Donahue, un analyste de la CIA devant une assemblée de responsables gouvernementaux et sites de production industriels. Selon lui, plusieurs attaques ont été menées à travers Internet, contre les systèmes de contrôle de procédés de sites de production électrique. Ces attaques se seraient déroulées hors des USA et certaines villes auraient été privées d'électricité.

La deuxième présentait le futur exercice (mars 2008) visant à simuler des attaques envers les infrastructures américaines, canadiennes, britanniques, néo-zélandaises et australiennes. Cette simulation nommée « Cyber Storm II » est commandée par le ministère de l’intérieur américain et suit la première version qui s’est déroulée en 2006. Parmi, les infrastructures qui seront testées, on trouve celles du secteur de la chimie, du Transport et de l'informatique. Il serait très intéressant d’avoir un retour sur ces opérations, mais rien n’est certain, car les journalistes qui ont essayé d’obtenir des informations sur la première simulation ont obtenu un rapport complètement censuré.

Enfin Microsoft vient de publier un bulletin de sécurité sur un composant de ses systèmes d'exploitation utilisé en automation (OLE Automation), qui permet tout simplement à un attaquant d'exécuter des programmes à distance. Mais en fait, OLE Automation, devenu Automation, n'a absolument rien à voir avec les systèmes industriels. Ce terme aura simplement éveillé mon attention sur le sujet évoqué, mais rien de plus.

En conclusion, les systèmes industriels ne sont plus complètement isolés et si vous travaillez dans ce domaine, alors attendez-vous à voir de plus en plus de défaillances liées à l'interconnexion des systèmes numériques.

Sources :
Washingtonpost : Hackers Have Attacked Foreign Utilities, CIA Analyst Says
Burton Group : The National Cyber Exercise
US Homeland security : Cyber Storm II National Cyber Exercise
Computerworld.co.nz : US Cyber Storm will test NZ's national security
Informationliberation : Threats from everywhere in 'cyber storm'
Microsoft Security Bulletin MS08-008 - Critical Vulnerability in OLE Automation Could Allow Remote Code Execution (947890)
Wikipedia : OLE Automation
Microsoft : Automation

Aucun commentaire: