Connexion
Abonnez-vous

Les infrastructures vitales des États-Unis ne seraient pas assez protégées

Une puissante armée d'un côté, quelques pirates organisés de l'autre

Les infrastructures vitales des États-Unis ne seraient pas assez protégées

Le 28 avril 2015 à 15h01

Pour l’ancien directeur de la NSA, l’ensemble des sociétés énergétiques américaines n’est tout simplement pas prêt à une cyberattaque massive. Il a récemment évoqué un véritable scénario catastrophe où les États-Unis seraient privés d’énergie, si des pirates suffisamment organisés mettaient à exécution un tel projet.

« Nous ne sommes pas préparés pour ça »

En France, on définit par OIV, ou Opérateur d'importance vitale, toutes les entreprises dont les activités ont notamment trait « à la production et la distribution de biens ou de services indispensables » ou encore qui satisfont « des besoins essentiels pour la vie des populations ». Les sociétés impliquées dans l’énergie font partie des OIV, et ont des obligations sur la défense numérique en général, plus spécifiquement tout ce qui pourrait provenir d’Internet.

Aux États-Unis, chaque entreprise est relativement libre de procéder à ses propres préparatifs sur ce terrain. C’est ce qui inquiétait récemment Keith Alexander, l’ancien directeur de la NSA (National Security Agency). Il visait en particulier l’ensemble des sociétés s’appuyant sur des systèmes SCADA (Supervisory Control And Data Acquisition), autrement dit des infrastructures de contrôle et de gestion des données sur de larges échelles.

Alexander s’inquiète particulièrement des sociétés impliquées dans la production d’énergie. Selon lui, elles ne sont tout simplement pas prêtes pour des attaques d’envergure, faisant peser le risque de plusieurs menaces synchronisées et donc simultanées sur plusieurs d’entre elles. Lors de l’évènement IHS CERAWeek de la semaine dernière, il a ainsi déclaré : « Le plus grand risque serait une attaque catastrophique contre l’infrastructure énergétique. Nous ne sommes pas préparés pour ça », comme le rapporte The Telegraph.

Des systèmes SCADA trop souvent protégés par une simple obscurité

Réseau électrique, centrales au pétrole ou au charbon, raffineries et autres structures ne fonctionneraient plus, plongeant les États-Unis dans le noir. Une panne qui serait d’autant plus durable que les équipements seraient bloqués ou endommagés par des éléments informatiques laissés en place par les pirates dans de multiples systèmes. Il n’y aurait alors pas de relais et d’équipements de secours.

Pour l’ancien responsable, cinq pays ont actuellement les connaissances et la force de frappe nécessaires pour de telles attaques : les États-Unis eux-mêmes, le Royaume-Uni, la Russie, Israël et l’Iran. On notera l’absence manifeste de la Chine dans cette liste, alors même que le pays a « officialisé » récemment l’existence de ses propres hackers dans un rapport de l’armée. L’actuel patron de la NSA, Mike Rogers, n’oublie pas la Chine, puisqu’il avait déclaré l’année dernière que le pays avait le pouvoir de lancer des attaques violentes contre les infrastructures d’eau et d’énergie.

De telles entreprises pourraient-elles vraiment être touchées ? Pour Lars Thoresen, directeur de la sécurité chez NTT Com Security, cela ne fait aucun doute. Durant la même conférence, il a ainsi indiqué que le monde avait changé : là où la sécurité par l’obscurité et l’absence de raccordement à Internet pouvaient suffire, les menaces et les nécessités ont évolué. Il pointe à son tour un retard dans les mesures adoptées et le manque de méthodologie des développeurs. Il rappelle notamment comment Daech a déjà réussi à prendre le contrôle de systèmes SCADA, notamment en Iraq, montrant que les installations distantes peuvent être des cibles de choix. « Pour résumer, le monde dans lequel les systèmes SCADA opèrent a changé, et les systèmes ont été, d’après notre expérience, lents à réagir » ajoute-t-il auprès d’Infosecurity.

Il manque toujours une vraie politique centralisée

Il faudrait donc une vraie politique fédérale imprimée par le gouvernement, un référentiel de sécurité, des ressources et un entrainement spécifique pour les développeurs qui gèrent ces problématiques dans les entreprises concernées. C’est l’avis de John Shaw, de chez Sophos,qui souligne un point crucial : garder une sécurité élevée signifie des changements réguliers et des mises à jour, alors que les systèmes critiques ne doivent être dérangés que le moins possible. Actuellement, cela se traduit par de nombreuses machines non mises à jour et qui peuvent représenter un danger beaucoup plus important si des pirates y accèdent, d’une manière ou d’une autre. La solution ? Tout verrouiller, mettre en place des listes blanches, former les ingénieurs, analyser la sécurité existante (audits) et toujours scanner les fichiers, la mémoire, les zones de stockage et ainsi de suite.

Globalement, les remarques des intervenants soulèvent une nouvelle réalité : les guerres peuvent être menées dans l’ombre, sans aucun blessé, avec pourtant des dégâts conséquents. L’interconnexion des réseaux, qui a tant facilité le travail des agences de renseignement, permet la circulation de menaces auxquelles seule une sécurité dédiée peut opposer une résistance. Le danger souligné par Keith Alexander se résume assez simplement : un pays peut avoir une puissante armée et être mis à genoux si une petite équipe de dix personnes suffit à saboter ses infrastructures vitales.

Commentaires (26)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

C’est le scénario d’une saison de 24h Chrono !!! La NSA a cinq saisons de retard <img data-src=" />

Et même de Die Hard IV aussi accessoirement… :P

votre avatar

Ça ressemble à un appeau à trolls terroristes. La vache NXi va être le prochain site filtré par décision administrative vu la quantité de mots clés distillés pour émoustiller les boîtes noires.

votre avatar



Les infrastructures vitales des États-Unis ne seraient pas assez protégées



Incroyable que PCI découvre cette info que maintenant ! :rouge:



Cette possibilité a été démontré il y a des années dans Die Hard 4 !



Face à cette découvert, je pense pas renouveller mon abo …



NANMEHO !









<img data-src=" />



Sinon c’est bien de s’en rendre compte maintenant même si c’est un peu tard, surtout de la part du pays qui a crée Stuxnet !

votre avatar

Les oiv commencent a poser la question suivante à leurs fournisseurs: vous proposez quoi? Ce qui est logique vu que les exploitants industriels n’ont pas forcément toute la main sur ce qui installé chez eux

votre avatar

Je parle là du secteur de l’énergie et pas des tv

votre avatar

Quand on voit la facilité des militants écolos pour se faufiler au coeur d’une centrale nucléaire en France, ça fait peur… Mais on met toujours des protections après avoir subi les dégâts (d’où l’inutilité totale des lois sécuritaires qui fleurissent ces derniers mois, ou les protections à la Vigipirate).



Dans les telcos, pas de risque, Orange vient de mettre un mot de passe sur le wifi de ces box <img data-src=" />

votre avatar

“on anticipe pas, on réagit”

votre avatar

Tu imagine le scandale si un militant Greenpeace se prenait son poids en plomb? Leurs soi-disant démonstration ne tiens pas la route.

votre avatar







Jarodd a écrit :



Quand on voit la facilité des militants écolos pour se faufiler au coeur d’une centrale nucléaire en France, ça fait peur… Mais on met toujours des protections après avoir subi les dégâts (d’où l’inutilité totale des lois sécuritaires qui fleurissent ces derniers mois, ou les protections à la Vigipirate).



Dans les telcos, pas de risque, Orange vient de mettre un mot de passe sur le wifi de ces box <img data-src=" />&nbsp;

&nbsp;



Ah oui et quel mot de passe :



“nouveauté

Le mot de passe d’administration de la Livebox est dorénavant initialisé avec les 8 premiers caractères de la clé de sécurité WiFi par défaut. ”

J’ai viré ce truc vite fait pour mettre un VERITABLE mot de passe&nbsp;&nbsp; …


votre avatar

Moi pas <img data-src=" />



Toutes les chaines TV peuvent bien tomber, je ne m’en porterais pas plus mal. Par contre concernant l’électricité…. hum… j’ai un doute.

votre avatar

TV5 un OIV ? <img data-src=" />

votre avatar

Il suffit juste de faire tomber en plein hiver 3 à 4 gros transformateurs qui délivrent le courant des centrales en France pour faire écrouler toute l europe…. Je comprends que le risque puisse venir d internet mais j aurais plus peur d une attaque coordonnée sur nos centrales avec des drones.

votre avatar







wanou a écrit :



Tu imagine le scandale si un militant Greenpeace se prenait son poids en plomb? Leurs soi-disant démonstration ne tiens pas la route.





Le scandale, c’est qu’un militant de Greenpeace utilise du plomb pour se suicider.


votre avatar

En gros c’est un appel aux attaques pour essayer d’identifier d’où elles peuvent venir, pour mieux les cibler et les éliminer.



Très malin !

votre avatar

“heureusement” qu’en France on est “au dessus de tout ça <img data-src=" />&nbsp; <img data-src=" />&nbsp; !!!

votre avatar

La France ne figure pas parmi la liste des pays susceptibles d’avoir cette force de frappe <img data-src=" />, pourtant on a la #FrenchTech <img data-src=" />

votre avatar

Oui enfin l’Allemagne non plus par exemple.&nbsp;

Le côté “On cite les copains, le Royaume-Uni, et les gens qui font peur mais qui en réalité ont pas tant que ça les moyens, l’Iran” est un peu ridicule.&nbsp;

Et très peu crédible.&nbsp;

votre avatar

Ne t’inquiète pas, si il y a une attaque d’envergure mondial les OIV français seront parmi les dernier à tomber.

La politique de sécurité des OIV en France est assez rigoureuse.

votre avatar







AltreX a écrit :



La politique de sécurité des OIV en France est assez rigoureuse.&nbsp;



Genre TV5 & co ?


votre avatar

Oui il y a un mec dans la salle serveur prêt à débrancher les rj45 des serveurs de prod. <img data-src=" />

votre avatar







AltreX a écrit :



Ne t’inquiète pas, si il y a une attaque d’envergure mondial les OIV français seront parmi les dernier à tomber.

La politique de sécurité des OIV en France est assez rigoureuse.







Dernier à tomber pake dernier à être attaqué ? ^^ <img data-src=" />


votre avatar

Merci, ça me rassure et puis j’imagine aussi qu’ils achètent un firewall neuf tous les mois, ça c’est <img data-src=" />

votre avatar

Chais pas, tu mettrais &nbsp;TV5 Monde en Opérateur d’Importance Vitale, toi ?

votre avatar

J’ai pas la télé donc… mais c’est ce que le ministre de l’intérieur a vendu pour justifier en partie son projet de loi sur le renseignement ; je reprends donc l’argument (et rigole doucement).

votre avatar

Pourquoi acheter, il est gratuit, OpenOffice, non <img data-src=" />…

votre avatar

Ca vous fait du stux.net est c’est pas capable de protéger les trucs de base et en plus on le dit dans la presse?&nbsp;

Ca me semble bizarre comme déclaration….&nbsp;

ALLO les terroristes, viendez chez nous y a des failles partout&nbsp;<img data-src=" />

Les infrastructures vitales des États-Unis ne seraient pas assez protégées

  • « Nous ne sommes pas préparés pour ça »

  • Des systèmes SCADA trop souvent protégés par une simple obscurité

  • Il manque toujours une vraie politique centralisée

Fermer