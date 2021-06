Au cours des dernières années, les pirates informatiques ont de plus en plus ciblé les systèmes physiques sur lesquels nous comptons pour faire fonctionner notre société. Les services publics d’électricité, les usines de transformation des aliments et les producteurs d’aluminium ne sont que quelques-unes des industries qui ont récemment été attaquées, ce qui a entraîné d’énormes perturbations de la chaîne d’approvisionnement.

Heureusement, les recherches innovantes du Pacific Northwest National Laboratory apportent un nouvel outil dans la lutte contre ce type de cybercriminalité. Ils l’appellent Shadow Figment.

En utilisant des techniques d’apprentissage automatique, Shadow Figment donne une nouvelle tournure au concept connu sous le nom de « pot de miel ». En informatique, les pots de miel sont traditionnellement une région d’un site ou d’un réseau qui contient ce qui semble être des fichiers légitimes et d’autres informations. Ceci est utilisé pour attirer et suivre les pirates, aidant à identifier les méthodes et les techniques qu’ils utilisent pour accéder.

Mais à mesure que les méthodes d’intrusion et le domaine de la cybersécurité lui-même se sont développés, des techniques de leurre plus sophistiquées ont été nécessaires. Shadow Figment répond à ce besoin en générant une illusion pour faire croire aux intrus qu’ils ont violé un système de contrôle industriel fonctionnel alors qu’ils sont en fait isolés dans une fausse représentation de l’installation.

“L’objectif est de créer un leurre d’un système de contrôle spécifique afin qu’un attaquant avancé qui le cible pense avoir trouvé ce qu’il cherchait”, a expliqué Thomas Edgar, le chercheur en cybersécurité qui a dirigé le projet PNNL. “Par exemple, les leurres doivent avoir l’air de faire partie d’un système électrique ou d’un pipeline.”

Contrairement aux réseaux de données, les systèmes de contrôle industriel (ICS) utilisent d’innombrables instruments et capteurs pour fonctionner. Ainsi, alors qu’un système de leurre statique peut convenir à un pot de miel de données, les leurres ICS doivent être beaucoup plus dynamiques et interactifs pour être convaincants. L’objectif de maintenir l’engagement du pirate informatique nécessite un système convaincant qui peut fournir les commentaires nécessaires pour lui faire croire qu’il a eu accès à une cible légitime.

Nous gagnons du temps pour que les défenseurs puissent prendre des mesures pour empêcher les mauvaises choses de se produire. Même quelques minutes suffisent parfois pour arrêter une attaque. « L’intrus commencera à sonder pour voir ce que ce capteur surveille et ce que ce contrôleur contrôle », a déclaré Edgar. « De cette façon, ils peuvent identifier leurs cibles. »

Les spécialistes de la cybersécurité souhaitent généralement garder les pirates informatiques dans le pot de miel le plus longtemps possible, non seulement pour en savoir plus sur leurs techniques, mais également pour identifier les faiblesses du système afin de pouvoir y remédier. Shadow Figment le fait en laissant l’intrus croire qu’il progresse, le récompensant régulièrement avec de fausses indications que ses actions ont de vrais résultats. Cela consomme leur temps et détourne l’attaquant des actifs, des données et des ressources réels.

Représenter avec précision des centaines, voire des milliers de capteurs et de contrôleurs représente une énorme quantité de travail, en particulier lorsqu’il doit être effectué pour de nombreux types de systèmes de contrôle très différents. L’approche d’apprentissage automatique de Shadow Figment y parvient en apprenant les résultats attendus du système réel. En utilisant des techniques d’apprentissage automatique extrapolatives sur le back-end du logiciel du système de contrôle, Shadow Figment est formé sur les équations des données qui sont générées afin de créer ses modèles.

À partir de là, il peut alors simuler des comportements réalistes, produisant des sorties convaincantes en réponse aux actions de l’intrus.

“Nous gagnons du temps pour que les défenseurs puissent prendre des mesures pour empêcher les mauvaises choses de se produire”, a déclaré Edgar. « Même quelques minutes suffisent parfois pour arrêter une attaque. Mais Shadow Figment doit être un élément d’un programme plus large de défense contre la cybersécurité. Il n’y a pas de solution miracle. »

(Photo Gros Stock)

Le développement de Shadow Figment et cette approche arrivent à point nommé. Le nombre et la gravité des attaques contre les installations du SCI ont considérablement augmenté au cours de la pandémie de l’année dernière. Compte tenu des milliers de capteurs, contrôleurs, vannes, réchauffeurs, pompes, etc. auxquels on peut accéder, il est difficile d’anticiper chaque vulnérabilité d’un système de contrôle industriel. Une fois que des acteurs malveillants compromettent une installation, ils peuvent potentiellement générer de fausses lectures, modifier des mélanges chimiques ou surchauffer des pièces critiques.

Le potentiel de destruction et même de mort augmente. En février, une installation de traitement d’eau de Floride a été infiltrée par un pirate informatique relativement novice. L’attaquant a tenté d’augmenter la quantité d’hydroxyde de sodium – également connu sous le nom de lessive – dans l’approvisionnement en eau de la ville à des niveaux qui auraient pu être mortels. Si l’agresseur avait été plus sophistiqué et avait caché sa présence, ses actions auraient pu être désastreuses.

Il reste encore de nombreux types de vulnérabilités contre lesquelles les défenses contre la tromperie comme Shadow Figment ne peuvent pas se protéger. Par exemple, la récente attaque contre le Colonial Pipeline qui a coupé près de la moitié de l’approvisionnement en carburant de la côte est des États-Unis était le résultat d’un ransomware qui a bloqué le système de facturation de l’entreprise. Bien que le pipeline physique lui-même n’ait pas été compromis, il a été fermé pour empêcher une éventuelle propagation de l’infection. Quelle que soit la méthode utilisée, de telles attaques deviennent non seulement de plus en plus coûteuses, mais aussi perturbatrices.

Compte tenu du besoin croissant de nouveaux outils pour prévenir de telles attaques, PNNL a développé sa suite PACiFiC (Proactive Adaptive Cybersecurity for Control). Conçue comme une nouvelle approche de la détection automatisée des menaces, la suite fournit les moyens de rendre les systèmes de contrôle sensiblement plus sûrs, fiables, robustes et résilients. Shadow Figment est l’un des cinq outils de cybersécurité conçus pour la suite.

PNNL a déposé une demande de brevet sur Shadow Figment, qui est en cours de développement en un produit commercial par Attivo Networks, basé à Fremont, en Californie, sous une licence non exclusive. Les résultats des recherches de l’équipe du PNNL ont été publiés dans le Journal of Information Warfare au printemps dernier.

Depuis les premiers jours d’Internet, la sophistication et la prévalence de la cybercriminalité ont augmenté de façon exponentielle. Après un nombre relativement faible d’incidents au début des années 90, le coût mondial de toutes les formes de cybercriminalité a grimpé en flèche. Une récente estimation de la société de recherche Cybersecurity Ventures a estimé que le coût mondial de la cybercriminalité avait atteint 6 000 milliards de dollars en 2020.

Pour lutter contre cette croissance explosive, l’industrie de la cybersécurité a progressé en tandem, en développant des outils pour sécuriser les réseaux et récupérer les données perdues contre une telle intrusion. Shadow Figment et PACiFiC sont un autre ensemble d’outils qui aident à faire la différence.