Un hackathon avec des partenaires de l'industrie, de l'économie et du monde académique a eu lieu à Thoune du 19 au 23 septembre 2022. Le hackathon du Cyber-Defence (CYD) Campus était axé sur les attaques et la défense des systèmes de contrôle industriels et technologies opérationnelles (TO). Ces systèmes sont d’une importance cruciale notamment pour l’approvisionnement en eau et en énergie de la Suisse. Ils sont de plus en plus interconnectés, de sorte qu’ils sont également plus exposés à l’espionnage et au sabotage. Vous trouverez plus de détails sur le déroulement et l’objectif du hackathon dans l’article suivant : Hackathon du CYD Campus sur les systèmes de contrôle industriels.

Le Krinflab

Pour le hackathon du CYD Campus, les participantes et participants disposaient de deux laboratoires, où ils ont pu découvrir différents vecteurs d’attaque et simuler des attaques sur des systèmes de contrôle industriels. Un de ces laboratoires était le Krinflab de la Haute école spécialisée de Lucerne (HSLU), qui simule une sous-station énergétique suisse. Dans ce cas, la connexion au réseau informatique de l’entreprise et des accès de télémaintenance mal sécurisés sont les vecteurs d’attaque les plus fréquents.

Un examen approfondi du Krinflab a permis aux participantes et participants du hackathon de découvrir sur un des appareils trois failles de sécurité significatives jusqu’alors inconnues. Cette découverte aurait pu avoir un impact direct sur la sécurité des infrastructures critiques de la Suisse, des appareils identiques étant employés dans les sous-stations énergétiques. Pour des raisons de sécurité, aucun détail technique concernant ces vulnérabilités ne sera mentionné dans cet article. Cette découverte n’en constitue pas moins une excellente opportunité de jeter un coup d’œil dans les coulisses de la recherche en la matière. Vous découvrirez plus tard dans l'article comment les failles de sécurité ont été corrigées.

Eurêka – nous avons trouvé une faille !

Si Archimède, après avoir découvert le principe qui porte son nom, a parcouru les rues de la ville en criant « eurêka », la découverte d’une faille de sécurité est, quant à elle, traitée avec beaucoup plus de discrétion. La publication d’informations sur une vulnérabilité informatique suit une procédure systématique qui permet de combler les failles de sécurité de manière optimale tout en évitant que les informations ne tombent entre de mauvaises mains.

Types de divulgation

La documentation interne est la première étape à suivre lorsque que des vulnérabilités informatiques ont été identifiées. Une fois les failles documentées, les personnes qui les ont découvertes peuvent opter pour une « divulgation coordonnée de la vulnérabilité » (Coordinated Vulnerability Disclosure) ou une « divulgation complète de la vulnérabilité » (Full Vulnerability Disclosure). Dans le cas de la divulgation coordonnée, la vulnérabilité est d’abord communiquée au fabricant et n’est rendue publique qu’après un délai convenu en commun pour y remédier. Une divulgation complète, en revanche, implique la publication de toutes les vulnérabilités sans concertation avec le fabricant. Pour empêcher que toutes les informations ne soient rendues publiques, les fabricants peuvent également opter pour une divulgation privée. C’est généralement le cas lorsque la vulnérabilité a été découverte par le fabricant lui-même.

Transmission des informations

Lors du hackathon du CYD Campus, les vulnérabilités découvertes sur l’un des appareils des systèmes de contrôle industriels ont été communiquées directement au fabricant dans le cadre d’une divulgation coordonnée, après avoir été documentées. Une fois le contact pris avec le fabricant, il a fallu trouver un moyen sûr pour transmettre les détails. Dans ce cas précis, c’est un e-mail crypté de standard PGP qui a été utilisé, l’envoi d’un e-mail en clair pouvant présenter des risques inutiles s’agissant de failles de sécurité critiques. Le fabricant de l’appareil concerné au Krinflab a réagi à l’annonce de vulnérabilité avec professionnalisme et efficacité, et développé une mise à jour pour combler la faille de sécurité dès qu’il a reçu les détails. La procédure d’élimination de la vulnérabilité a ensuite été coordonnée à nouveau avec l’équipe du hackathon du CYD Campus.

Transfert de connaissances

Pour terminer, le fabricant a été prié d’attribuer aux vulnérabilités trouvées un identifiant unique pour les vulnérabilités et expositions courantes (Common Vulnerabilities and Exposure) ou identifiant CVE. Le système international de désignation des CVE assigne des identifiants uniques aux vulnérabilités découvertes, pour éviter que la même faille de sécurité ne soit répertoriée plusieurs fois et faciliter les échanges d’informations entre les différentes bases de données. Ces identifiants sont attribués exclusivement par une autorité de numérotation CVE spécifique (CVE Numbering Authorities ou CNA). En Suisse, c’est le Centre national pour la cybersécurité NCSC qui remplit cette fonction de contrôle et de numérotation. Le fabricant s’est montré coopératif et a collaboré avec le NCSC afin d’assigner un identifiant unique à chacune des trois vulnérabilités découvertes :

• CVE-2022-4778
• CVE-2022-4779
• CVE-2022-4780

Installation des mises à jour

En dépit du comportement exemplaire du fabricant lors du développement d’une mise à jour et de la divulgation des vulnérabilités, un risque subsiste que les failles de sécurité soient exploitées. Bien que le fabricant ait immédiatement fourni une mise à jour, il se peut que les exploitants d’infrastructures critiques ne soient pas prêts à installer celle-ci rapidement parce que leurs ressources (temps et personnel) sont limitées ou qu’ils craignent une panne partielle du système. C’est pourquoi les exploitants mettront en balance la probabilité qu’une vulnérabilité soit exploitée et les risques et ressources supplémentaires requises pour l’installation de la mise à jour. Bien qu’il soit généralement recommandé d’actualiser régulièrement les logiciels, ce n’est souvent pas le cas dans la pratique. Il est donc essentiel de se tenir au courant des dernières mises à jour de sécurité afin de garantir la cybersécurité.

Avantage de la collaboration

Le hackathon du CYD Campus n’avait pas pour seul objectif de détecter les vulnérabilités des ICS. Il était également centré sur le réseautage des expertes et experts avec les jeunes cybertalents de l’industrie, du milieu académique et de l’administration publique. Cette collaboration présente un avantage pour l’anticipation des cybermenaces et constitue non seulement un aspect fondamental du CYD Campus, mais aussi un moyen indispensable de se tenir au courant des derniers développements dans un environnement de travail en constante évolution. C’est pourquoi le hackathon du CYD Campus sur les ICS est considéré comme un projet modèle pour la future collaboration des secteurs économique, scientifique et administratif en matière de cybersécurité.