Le site spécialisé Si vis pacem para bellum (recommandé par NanoJV) sort de sa réserve et tape du poing sur la table :
"Une centrale nucléaire serait protégée de toute tentative de cyberattaque parce qu’aucun ordinateur n’est relié à Internet ou que les systèmes sont particuliers, ce que l’on appelle dans le jargon “propriétaires” ? Incompétence !"
Et pour illustrer son propos "Si vis" apporte deux exemples américains (on est jamais trop prudent) :
Le premier cas concerne la centrale nucléaire de Hatch en 2008. Le 7 mars, une simple mise à jour entraîne la remise à zéro de l’ensemble des données du système de contrôle. Les dispositifs de sécurité reçoivent soudain des données erronées indiquant une fuite dans la piscine servant au refroidissement des barres de combustible nucléaire. L’arrêt d’urgence est déclenché. Sans conséquence… pour cette fois. A l’origine du problème : des logiciels de série, prêts à l’emploi, interfacés avec des systèmes de contrôle industriels.
Deuxième exemple se déroule à la Centrale Nucléaire de Brown Ferries en Alabama. 6 mois avant l’incident précédent. Là aussi un arrêt d’urgence, mais manuel à la suite d’une saturation des réseaux de contrôles de la centrale. Deux équipements vitaux se trouvent en effet soudainement submergés de données au point de dysfonctionner : le contrôleur déminéralisateur de la centrale et les pompes de recirculation. L’origine du problème, impliquant des micro-processeurs, n’a pas pu être identifié.
Ces deux exemples montrent que des failles importantes peuvent se loger dans des infrastructures critiques à la suite de mauvaises pratiques ou de défauts de conception. Selon "Si Vis":
"les spécialistes s’accordent à dire que l’interconnexion de systèmes assez différents, leur hétérogénéité et d’autres subtilités ne rendent pas impossible des scenarii de cyberattaques, mais qu’ils sont difficiles et complexes".
Stuxnet et Duqu ont montré que la difficulté et la complexité ne constituaient pas un obstacle majeur pour des équipes déterminées. Si Vis reste cependant, hélas, dans le politiquement correct en rapportant sans aucune preuve que Duqu et Stuxnet sont le fait d’un ou plusieurs États "qui sont les seuls acteurs à posséder le savoir, les ressources, les moyens et les compétences" (Israël et les USA sont visés même si leurs noms ne sont pas mentionnés). Pourtant Si Vis devrait se souvenir de l’alerte suivante, vite étouffée il est vrai, et qui démontre tout le contraire : Ici.
*
Copyright NanoJV (reproduction non autorisée, extraits sourcés seulement).
*
*
*
*
*
*
*
*
Hubert MANO
2 février 2012
Bravo (et MERCI) pour la qualité de votre site !
(…)
Cordial SHaLoM
Hubert
NANOJV JOINT VENTURES CONSTRUCTOR
2 février 2012
Merci Hubert pour vos observations très pertinentes (non publiées selon votre souhait) elles ont été immédiatement appliquées.
Sivispacem
2 février 2012
Cher NanoJV,
je vous remercie pour la recommandation, humblement appréciée à sa juste valeur.
Est-ce que je "tape du poing sur la table" ? C’est assurément vrai, même s’il est improbable que le moindre emportement physique relativement violent puisse accompagner mes convictions. Pour autant, c’est plus une sorte de léthargie générale des décideurs (au sens large) et d’une frilosité d’actions (liée à une – absence de – vision, forcément) qui m’agacent (là, c’est politiquement correct, oui ! ;).
Les vulnérabilités liées au Systèmes d’Information dans leur ensemble, la dépendance de nos sociétés à ces même systèmes et la multiplication d’actes délictueux offensifs conduisent simplement à l’émergence de phénomènes qui s’installent durablement dans le paysage médiatique, politique et économique : "hackers", "Anonymous", "infrastructures critiques", on a l’impression que la culture geek est devenue hype et tendance et qu’elle relève plus d’un courant de mode, d’un symptôme médiatique que de l’expression d’une réalité bien moins fashion mais bien plus dangereuse.
Qu’on l’appelle guerre économique, cyber-espionnage ou cyber-criminalité, le problème est le même : pas de morts certes mais des pertes de marchés (et d’emplois) à venir, de vraies innovations pillées, l’investissement d’une protection insuffisante à coups "d’anti-virus et de firewalls" associé au "moins disant" dans la formation continue des praticiens en sécurité (indispensable au maintien des compétences et d’un état de vigilance élevé).
Pour mémoire, le nom de mon blog n’a pas été choisi au hasard : "si tu veux la paix, prépare la guerre" c’est parce que je suis aux premières loges depuis des années et que j’ai conscience (comme nombre de mes homologues je suppose) que la problématique "sécurité de l’information" est réelle, sous la menace de risques permanents et évolutifs, et qu’elle est de plus en plus essentielle à la bonne marche des sociétés humaines.
Bref, il y a véritablement danger et il ne sert à rien d’acheter un extincteur quand l’incendie se déclare, c’est beaucoup trop tard…
Pour Stuxnet, je connais la polémique mais j’aime aussi croire que les choses sont plus simples que certains ne voudraient le laisser paraitre. En cela j’emprunte une voie déductive et la plus objective possible : à qui profite le "crime" ? C’est un point de départ plutôt sensé, non ?
J’ai douté au départ (relisez mes articles sur le sujet fin 2010, début 2011) d’une possible implication des USA et d’Israël. La piste chinoise avait même un temps été envisagée. Pour autant, la rétro-ingénierie du code menée tant par le Kaspersky Lab que Symantec montrent quand même qu’on a affaire à plusieurs équipes constituées chacune de plus d’une dizaine de personnes très compétentes, associées au sein d’une organisation extrêmement structurée et dotée de moyens conséquents (plusieurs années de développement, des innovations technologiques) le tout adossé à des informations précises afin d’élaborer un chemin d’attaque imparable. Pour ce dernier, hormis le niveau étatique et des services de renseignement (Allemagne, Royaume-Uni, Turquie, France, …) qui pourraient être amenés à collaborer, je ne crois pas à un groupe dissident, mafieux ou "terroriste".
Respectueuses salutations,
yann
3 février 2012
C’est une idée ou cette liste n’inclut (hors Israel) que les pays de l’OTAN qui seraient le plus probablement impliqués dans un conflit avec l’Iran (par leur proximité et/ou leurs capacités), si on devait en arriver là… montrant indirectement les réticences à une confrontation?
Pourtant, à regarder le loin, les prémices d’une Cyber-OTAN dateraient de 2010 à Lisbonne :o)
NANOJV JOINT VENTURES CONSTRUCTOR
2 février 2012
Merci Sportet, pour ce feedback très intéressant et l’expression de points de divergences tout à fait enrichissants.
Les lecteurs de NanoJV, sont invités à consulter régulièrement l’excellent "Si Vis Pacem Para Bellum", l’un des meilleurs analystes des questions cyber. http://si-vis.blogspot.com/.