+ Répondre à la discussion Actualité déjà publiée
  1. #1
    Community Manager

    Avatar de Malick SECK
    Homme Profil pro
    Auditeur
    Inscrit en
    juillet 2012
    Messages
    3 956
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Sénégal

    Informations professionnelles :
    Activité : Auditeur
    Secteur : Conseil

    Informations forums :
    Inscription : juillet 2012
    Messages : 3 956
    Points : 46 100
    Points
    46 100
    Billets dans le blog
    15

    Par défaut Cybersécurité : des chercheurs mettent au point un ransomware qui cible les systèmes industriels

    Cybersécurité : des chercheurs mettent au point un ransomware « test » qui cible les systèmes industriels,
    pour mettre en évidence leur vulnérabilité

    Des chercheurs en sécurité de l'Institut de Technologie de Georgie sise à Atlanta ont mis au point une nouvelle forme de ransomware qui est en mesure de prendre le contrôle d'une usine de traitement d'eau. Selon ces derniers, le ransomware est conçu pour simuler des attaques réelles sur les systèmes industriels, cela dans l'optique de mettre en évidence les vulnérabilités présentes dans les systèmes de contrôle mis en place pour faire fonctionner des installations industrielles telles que les usines de fabrication d'eau, de traitement des eaux usées. Les systèmes de gestion et de contrôle des escalators, des ascenseurs, etc. sont également visés par ce nouveau type de ransomware.

    Nom : ransomware6863.jpg
Affichages : 3396
Taille : 150,3 Ko

    Revenant sur la prise de contrôle de l'usine de traitement d'eau qui a été infectée, les chercheurs affirment que l'exploitation des vulnérabilités identifiées dans les systèmes de contrôle leur a permis de commander les contrôleurs logiques programmables (PLC). Forts de cela, ils sont arrivés à fermer les vannes, à augmenter la quantité de chlore contenue dans l'eau, et à afficher de fausses informations. En effet, pour faire leurs tests, les chercheurs ont identifié plusieurs contrôleurs logiques programmables (PLC) dans les installations industrielles. Ils ont ensuite choisi trois dispositifs distincts sur lesquels ils ont effectué des tests en matière de sécurité, y compris leur protection par mot de passe et leur sensibilité aux changements de paramètres. Les appareils ont ensuite été combinés avec des pompes, des tubes et des réservoirs pour créer un centre de traitement d'eau. À la place du chlore normalement utilisé pour désinfecter l'eau, les chercheurs ont utilisé l'iode.

    « Bien qu'aucune attaque réelle par ransomware sur les processus de contrôle des systèmes industriels n'ait été signalée publiquement, les attaques sont devenues de gros problèmes pour les données des patients dans les hôpitaux ainsi que les données des clients dans les entreprises. Les pirates, en accédant à ces systèmes, chiffrent l'ensemble des données et réclament une rançon en échange de la clé de déchiffrement qui permet aux utilisateurs de récupérer les données afin de pouvoir les utiliser à nouveau », a déclaré l'équipe des chercheurs. Ces derniers estiment que ce n'est maintenant qu'une question de temps, car les systèmes industriels vulnérables risquent très rapidement d'être infectés via des attaques par ransomware.

    D'après les informations recueillies, les attaques par ransomware ont permis aux pirates de générer plus de 200 millions de dollars au premier trimestre de l'année 2016.

    « Nous nous attendons à une véritable avancée des ransomwares. Ces derniers, au-delà des données clients, vont bientôt commencer à compromettre les systèmes de contrôle eux-mêmes », a déclaré David Formby, un étudiant en doctorat au département de génie électrique et informatique de l'Institut de Technologie de Georgie. Formby ajoute que cela pourrait permettre à des attaquants de tenir en otage les sociétés industrielles à l'instar des usines de traitement d'eau. Toutefois, compromettre les contrôleurs logiques programmables (PLC) de ces systèmes est une étape logique pour ces attaquants.

    « Nous avons été en mesure de simuler un hacker qui est arrivé à accéder aux processus de contrôle des systèmes industriels et à le prendre en otage en menaçant de déverser de grandes quantités de chlore dans l'eau à moins que l'opérateur ne verse une rançon », a déclaré Formby. Rappelons que le chlore permet de désinfecter l'eau lorsque c'est la quantité adéquate qui a été versée, toutefois trop de chlore peut créer une mauvaise réaction qui pourrait rendre l'eau non potable.

    « La plupart des systèmes de contrôle donnent aux utilisateurs la possibilité de faire des modifications une fois que l'accès est autorisé », a déclaré Formby. Pour ce dernier, cela résulte d'une faible politique de sécurité (mot de passe de niveau faible, etc.) qui pourrait permettre à des intrus de prendre le contrôle des pompes, vannes et autres composants clés du système de contrôle industriel.

    Selon le professeur Raheem Beyah de l'Institut de Technologie de Georgie, de nombreux systèmes de contrôle industriel manquent de protocoles de sécurité solides. Il déclare que cela est probablement dû au fait que ces systèmes ne sont pas encore la cible d'attaques par ransomware ; à cela s'ajoute le problème relatif à la compréhension des vulnérabilités par les opérateurs.

    Les chercheurs invitent les opérateurs à mettre en place une bonne politique de sécurité notamment en améliorant la sécurité des mots de passe et en limitant les connexions. Le professeur Raheem Beyah ajoute que les opérateurs ont besoin d'installer des systèmes de surveillance d'intrusions afin de créer des alertes lorsque des pirates accèdent à leurs réseaux.

    Source : Institut de Technologie de Georgie

    Et vous ?

    Que pensez-vous de ces vulnérabilités relevées dans les systèmes industriels par les deux chercheurs en cybersécurité ?
    Vous avez envie de contribuer au sein du Club Developpez.com ? Contactez-nous maintenant !
    Vous êtes passionné, vous souhaitez partager vos connaissances en informatique, vous souhaitez faire partie de la rédaction.
    Il suffit de vous porter volontaire et de nous faire part de vos envies de contributions :
    Rédaction d'articles/cours/tutoriels, Traduction, Contribution dans la FAQ, Rédaction de news, interviews et témoignages, Organisation de défis, de débats et de sondages, Relecture technique, Modération, Correction orthographique, etc.
    Vous avez d'autres propositions de contributions à nous faire ? Vous souhaitez en savoir davantage ? N'hésitez pas à nous approcher.

  2. #2
    Membre expérimenté
    Homme Profil pro
    Inscrit en
    janvier 2014
    Messages
    299
    Détails du profil
    Informations personnelles :
    Sexe : Homme

    Informations forums :
    Inscription : janvier 2014
    Messages : 299
    Points : 1 696
    Points
    1 696

    Par défaut

    Cela serais bien de faire le même pour les centrales nucléaires

  3. #3
    Provisoirement toléré Avatar de MikeRowSoft
    Homme Profil pro
    sans profession
    Inscrit en
    avril 2013
    Messages
    1 002
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 38
    Localisation : France, Puy de Dôme (Auvergne)

    Informations professionnelles :
    Activité : sans profession

    Informations forums :
    Inscription : avril 2013
    Messages : 1 002
    Points : 0
    Points
    0

    Par défaut

    Plus simple, le marché de la revente et de l'occasion. Et correcte, les chaines de production. Se faire fabriquer des trucs à l'étranger ne pénaliseraient pas le peu que l'on "possède".

  4. #4
    Membre confirmé Avatar de petitours
    Homme Profil pro
    Ingénieur développement matériel électronique
    Inscrit en
    février 2003
    Messages
    1 152
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 36
    Localisation : France, Savoie (Rhône Alpes)

    Informations professionnelles :
    Activité : Ingénieur développement matériel électronique
    Secteur : Industrie

    Informations forums :
    Inscription : février 2003
    Messages : 1 152
    Points : 487
    Points
    487

    Par défaut

    Nous avons été en mesure de simuler un hacker qui est arrivé à accéder aux processus de contrôle des systèmes industriels et à le prendre en otage en menaçant de déverser de grandes quantités de chlore dans l'eau à moins que l'opérateur ne verse une rançon »
    ils auraient pu trouver des exemples moins idiots.... Ici le gestionnaire va sur site dans les 30s, ferme les vannes de chlore et fait un .uck au hacker !
    La menace n'a pas de sens ici puisque le mal n'est pas encore fait, par contre l'acte de terrorisme ou de vandalisme sans sommation aurait fait mal...

    Aujourd'hui en entreprise et industrie les hackers sont certainement plus à l'affut des données (clients, offres commerciales, marketing, projets...) en toute discrétion, plutôt que ce genre de choses moins lucratives et plus risquées qui n'ont de valeur que pour les vandales et terroristes. Mais a tout mettre sur le cloud (y compris les automates et supervision), on donne un large choix de méfaits pour ces .onnards et c'est clair qu'un jour ça va faire mal quelquepart.
    L'an passé j'ai un copain qui est intervenu sur une centrale logistique en panne. Diagnostique = plus d'internet : la gestion des flux logistiques dans l’entrepôt était confiée à un service cloud hébergé on ne sait pas où ! L'abruti qui a eu l'idée de faire ça devrait être enfermé pour crétinerie excessive et outrage à la technologie !
    Il y a 10 sortes de personnes dans le monde : ceux qui comprennent le binaire et les autres

  5. #5
    Membre à l'essai
    Homme Profil pro
    Webmaster
    Inscrit en
    novembre 2014
    Messages
    14
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 45
    Localisation : France, Bouches du Rhône (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Webmaster

    Informations forums :
    Inscription : novembre 2014
    Messages : 14
    Points : 16
    Points
    16

    Par défaut

    Le piratage d'escalators et d'ascenseurs ?
    Mais que fait la police ?!

Discussions similaires

  1. Réponses: 5
    Dernier message: 01/04/2015, 13h11
  2. Réponses: 14
    Dernier message: 07/03/2015, 14h22
  3. Réponses: 13
    Dernier message: 30/10/2014, 17h37
  4. Des chercheurs mettent au point une méthode pour déchiffrer une clé RSA
    Par Stéphane le calme dans le forum Sécurité
    Réponses: 25
    Dernier message: 15/01/2014, 16h13
  5. Des chercheurs mettent un point un algorithme contre les cyberattaques
    Par Cedric Chevalier dans le forum Général Algorithmique
    Réponses: 1
    Dernier message: 17/05/2013, 11h56

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo