Les systèmes de contrôle industriels constituent l'épine dorsale des opérations industrielles, ce qui fait de leur exposition à Internet une préoccupation de longue date pour les chercheurs en sécurité. Si les cyberattaques directes contre les ICS restent moins fréquentes en raison de l'expertise technique requise, les conséquences potentielles de ces violations, lorsqu'elles sont réussies, peuvent être dévastatrices.
Récemment, cependant, les acteurs de la menace se sont tournés vers une cible plus facile : les interfaces homme-machine (IHM). Ces interfaces graphiques permettent aux opérateurs de contrôler et de surveiller les machines ICS, mais nombre d'entre elles sont connectées à l'internet public pour faciliter l'accès à distance. Malheureusement, leur commodité a souvent un coût : des mesures d'authentification faibles et des interfaces conviviales créent des opportunités d'intrusion pour les acteurs de la menace.
Dans le troisième rapport annuel sur l'état de l'internet, l'équipe de recherche Censys a entrepris d'illustrer l'étendue de ces risques ICS mondiaux d'une manière mesurée et non sensationnelle, afin de fournir des informations exploitables aux opérateurs et aux défenseurs. Dans ce blog, nous offrons un aperçu de ce que l'équipe a découvert et de ce que ces résultats suggèrent sur l'état de la sécurité des infrastructures critiques.
Vous préférez accéder au rapport complet ? Téléchargez votre exemplaire du rapport complet sur l'état de l'internet en 2024 ici.
1. Expositions aux interfaces homme-machine (IHM) : Un risque croissant
Le risque lié à l'exposition des interfaces homme-machine (IHM) est souvent négligé. Pourtant, comme l'écrit l'équipe de recherche Censys dans son rapport, "les interfaces homme-machine représentent les expositions les plus préoccupantes et les plus contraignantes dans l'espace ICS".
Les interfaces homme-machine sont essentielles pour la surveillance et la gestion des systèmes industriels, et leur connectivité croissante à l'internet pour permettre l'accès à distance en a fait une cible facile pour les acteurs de la menace. Ce qui rend les IHM particulièrement vulnérables, c'est leur manque de mesures de sécurité robustes. Nombre d'entre elles sont accessibles sans authentification ou s'appuient sur des configurations par défaut faibles, ce qui en fait une cible attrayante pour les attaquants. La simplicité d'accès et de manipulation des IHM exposées a conduit à des attaques notables, comme celles qui ont touché des systèmes municipaux de distribution d'eau en 2023 et 2024.
Dans le rapport 2024 sur l'état de l'internet, l'équipe de recherche Censys a identifié plus de 7 700 IHM exposées dans 80 pays, dont près de 70 % en Amérique du Nord.
Parmi les 20 types de logiciels IHM observés, l'équipe s'est intéressée de plus près au plus répandu, les IHM AutomationDirect C-More, afin d'en savoir plus sur l'impact de l'industrie.
Les IHM C-More utilisent un serveur web public avec une vue en lecture seule de chaque écran programmé. Ils utilisent également un protocole propriétaire conçu spécifiquement pour programmer les IHM, qui est activé par défaut et dont l'authentification est faible ou inexistante.
En examinant les industries utilisant des IHM C-More, Censys a constaté que plus d'un tiers des expositions étaient liées à l'eau et aux eaux usées.
Une étude récente de GreyNoise Intelligence sur l'exposition aux interfaces homme-machine rejoint les conclusions de Censyssur les risques que présentent les interfaces homme-machine. Dans son article de blog, qui inclut la couverture du rapport 2024 sur l'état de l'Internet, GreyNoise indique qu'il a observé que les IHM connectées à l'Internet étaient scannées et sondées plus rapidement que les capteurs de base. GreyNoise ajoute que "plus de 30 % des IP qui ont touché les IHM avant un capteur GreyNoise typique ont ensuite été identifiées comme malveillantes".
2. Exposition au risque ICS : Un défi permanent pour la sécurité
Le rapport de cette année sur l'état de l'internet analyse également l'exposition généralisée des protocoles ICS, également connus sous le nom de protocoles d'automatisation, qui, comme nous l'avons mentionné, sont essentiels aux opérations industrielles mais notoirement peu sûrs.
Globalement, Censys a observé plus de 148 000 services ICS dans 175 pays, dont 38 % en Amérique du Nord et 35 % en Europe. Si ces chiffres soulignent l'importance des possibilités offertes par les États-Unis pour remédier à l'exposition aux protocoles, il n'en reste pas moins que les États-Unis disposent du plus grand nombre d'adresses IPv4 attribuées. Lorsque les services ICS sont examinés en tant que ratio de l'empreinte Internet totale, la Lituanie, le Belarus et la Turquie sont en tête de liste.
Les principaux protocoles ICS vulnérables sont les suivants
- Modbus: Largement utilisé dans tous les secteurs, mais souvent dépourvu de cryptage et d'authentification.
- CEI 60870-5-104 : essentielle pour les réseaux électriques, mais de plus en plus ciblée par les campagnes de logiciels malveillants.
- CODESYS et OPC UA: protocoles avancés faisant partie intégrante de l'automatisation, mais souvent exposés en raison de mauvaises configurations.
Ces protocoles, bien que conçus il y a plusieurs dizaines d'années, restent essentiels pour les processus industriels. Malheureusement, leur conception héritée et l'absence de sécurité moderne les rendent propices à l'exploitation.
3. Différences régionales et tendances mondiales en matière d'exposition aux SCI
Censys révèle que l'exposition aux ICS varie d'une région à l'autre. En Europe, les protocoles traditionnels tels que Modbus dominent, tandis que l'Amérique du Nord utilise davantage les fournisseurs d'accès Internet grand public et les réseaux mobiles pour la connectivité ICS.
Un nombre important d'appareils exposés fonctionnent sur des réseaux 5G ou LTE, ce qui complique l'attribution et rend difficile la détermination de la propriété.
Cette dépendance à l'égard des réseaux mobiles pour la connectivité ICS présente des défis uniques. Les acteurs de la menace peuvent exploiter le manque de métadonnées associées à ces appareils, ce qui complique la tâche des équipes de sécurité pour détecter et attribuer les activités malveillantes.
Perspectives d'avenir : Sécuriser les infrastructures critiques
Comme l'indique clairement notre rapport 2024 sur l'état de l'internet, les risques d'attaques sur les ICS sont nombreux. Si les vulnérabilités des interfaces homme-machine et des protocoles ICS diffèrent, elles partagent un défi commun : l'exposition à l'internet augmente la probabilité d'attaques.
Pour garder une longueur d'avance, les opérateurs ICS et les équipes chargées de la sécurité doivent.. :
- Identifier et sécuriser les IHM et les protocoles ICS exposés.
- Dans la mesure du possible, évitez de connecter les protocoles ICS et les IHM à l'internet.
- Évitez d'utiliser des identifiants faibles ou par défaut.
- Tirer parti de l'intelligence Internet en temps réel pour surveiller et traiter les menaces émergentes.
Télécharger le rapport complet sur l'état de l'internet Rapport sur l'état de l'internet en 2024 pour obtenir des résultats encore plus détaillés et des informations exploitables.
Obtenir le rapport
Vous souhaitez entendre directement l'équipe de recherche de Censys ? Participez à notre webinaire spécial sur le rapport 2024 sur l'état de l'internet le 11 décembre 2024 à 13 heures (heure de l'Est) ! Réservez votre place.
