Quand les organisations répondent aux cyberattaques

Les cyberattaques sont une réalité à laquelle les organisations sont de plus en plus confrontées. Dans le cadre de l’Académie franco-allemande pour l’industrie du futur, les chercheurs de l’IMT et l’université technique de Munich (TUM), montrent qu’il existe des solutions à cette menace virtuelle. Le projet ASSET s’intéresse notamment aux réponses à apporter face aux attaques qui visent les communications entre objets connectés, et qui touchent l’intégrité des systèmes informatiques. Frédéric Cuppens, chercheur en cybersécurité sur ce projet à IMT Atlantique et coordinateur de la chaire Cybersécurité des infrastructures critiques, nous détaille les défenses à l’état de l’art pour répondre à ces attaques.

La cybersécurité est un sujet de plus en plus pressant pour un grand nombre d’organisations. Sont-elles toutes concernées ?

Fréderic Cuppens : Le nombre d’objets connectés croît de manière exponentielle, y compris dans les organisations. Les hôpitaux, les systèmes industriels, les services, les réseaux de transport sont autant d’exemples où l’internet des objets prend une grande place, et qui deviennent de ce fait plus vulnérables sur le plan cyber. Il y a déjà eu des démonstrations d’attaques sur des voitures connectées, sur des pacemakers, sur des compteurs d’électricité connecté… Les organisations sont donc toutes concernées. Pour ne prendre que le cas de l’industrie, puisque c’est un de nos sujets d’intérêt à IMT Atlantique, les nouvelles vulnérabilités concernent aussi bien les chaînes de production et le traitement de l’eau, que les processus agricoles et la production d’énergie.

Quelles sont les attaques les plus fréquemment menées sur ce type de cible ?

FC : Nous avons réalisé une classification des attaques menées sur les organisations pour étudier les menaces. On retrouve beaucoup d’attaques contre l’intégrité des systèmes informatiques, c’est-à-dire leur capacité à fonctionner de manière correcte. C’est ce qu’il se passe lorsqu’un attaquant prend le contrôle d’un capteur de température pour lui faire indiquer une fausse valeur qui va, par exemple, induire un arrêt d’urgence. Et puis dans cette classification il y a également beaucoup d’attaques contre la disponibilité des systèmes, qui consistent à empêcher l’accès aux services ou l’échange d’informations. C’est ce qui arrive lorsqu’un attaquant brouille les communications entre des objets connectés.

Existe-t-il des réponses à ces deux types d’attaque ?

FC : Oui nous travaillons sur des mesures à mettre en place contre ce genre d’attaques. Avant de les détailler, il faut comprendre que la cybersécurité est construite en trois parties : la protection qui consiste par exemple à filtrer les communications, ou à contrôler les accès pour empêcher une attaque ; la défense qui est la partie détection d’une attaque en cours et réponse à apporter pour y mettre fin ; et puis la résilience qui permet de faire en sorte que le système continue de fonctionner même pendant une attaque. Les recherches que nous menons contre les attaques visant la disponibilité ou l’intégrité rassemblent ces trois composantes, avec tout de même un focus important sur la résilience.

Face aux attaques sur la disponibilité des systèmes, comment assurez-vous cette résilience ?

FC : Pour brouiller des communications, il vous suffit d’avoir un jammer. En France c’est interdit mais ce n’est pas difficile de s’en procurer un sur internet. Un jammer ne brouille les communications que sur des fréquences particulières, qui dépendent du type de jammer utilisé. Certains vont être associés à la fréquence du bluetooth, d’autres à la fréquence des réseaux WiFi ou GPS. Notre approche pour lutter contre ces jammers, c’est l’étalement de spectre à séquence directe. Le signal est  « enfoui dans le bruit » et donc difficile à détecter avec un analyseur de spectre.

Cela permet de contrer efficacement une attaque par brouillage ?

FC : Nous sommes vraiment dans une approche résilience. Nous partons du principe que, pour brouiller le signal, l’attaquant doit trouver la fréquence sur laquelle deux objets communiquent, et nous voulons faire en sorte que cela ne remette pas en cause la communication. Le temps qu’il trouve la fréquence et qu’il lance l’attaque, le code d’étalement aura été mis à jour. Nous sommes dans une approche que l’on appelle « moving target defense » : la cible de l’attaque — la séquence de propagation— est mise à jour régulièrement. Pour un attaquant, il est très difficile de finaliser son attaque avant que la cible ne soit mise à jour.

Utilisez-vous la même approche pour lutter contre les attaques sur l’intégrité ?

FC : En quelque sorte, mais la problématique est différente. Dans ce cas, nous nous intéressons à un attaquant capable d’intégrer des informations de manière intelligente pour qu’on ne détecte pas son intrusion. Prenons un exemple : une cuve se remplit, et l’attaquant corrompt un capteur pour qu’il indique au système que la cuve est déjà pleine. Il va ainsi pouvoir arrêter des pompes dans une station d’épuration ou une distillerie. Nous partons du principe que l’attaquant connaît très bien le système. C’est tout à fait possible : les attaques sur les centrifugeuses iraniennes d’enrichissement d’uranium ont montré qu’un attaquant pouvait récolter des donnes extrêmement sensibles sur le fonctionnement d’une infrastructure.

Comment luttez-vous contre un attaquant qui sait passer parfaitement inaperçu ?

FC : Ce que proposent les systèmes de sécurité à l’état de l’art, c’est d’introduire une redondance physique. Plutôt que d’avoir un capteur de niveau d’eau ou de température, on va en mettre plusieurs de différents types. L’attaquant doit alors s’en prendre à plus de cibles en même temps. Nos recherches proposent d’aller encore plus loin, en introduisant également une redondance virtuelle. Nous allons avoir un système auxiliaire qui va simuler le fonctionnement attendu des machines ou des structures. Si les données renvoyées par les capteurs physiques sont différentes de celles du modèle virtuel, alors nous savons qu’il se passe quelque chose d’anormal. C’est le principe d’un jumeau numérique qui donne en temps réel une valeur de référence. Nous rejoignons l’idée du moving target defense, en introduisant une cible indépendante virtuelle dont le comportement change dynamiquement.

Ces travaux sont menés en partenariat avec l’université technique de Munich (TUM) dans le cadre du projet ASSET de l’Académie franco-allemande pour l’industrie du futur. Que vous apporte ce partenariat sur le plan scientifique ?

FC : Les compétences apportées par IMT Atlantique et la TUM sont complémentaires. La TUM est davantage sur les couches physiques et IMT Atlantique est sur les couches communication et service. Mines Saint-Étienne intervient également et collabore avec la TUM sur les attaques des composants physiques. Ils travaillent ensemble sur des attaques par laser contre l’intégrité des capteurs. Chacun apporte donc des compétences que l’autre n’a pas forcément. Cette complémentarité permet de concevoir des solutions pour lutter contre les cyberattaques à différents niveaux et suivant différents points de vue. C’est crucial dans un contexte où les systèmes informatiques se complexifient : les contremesures doivent suivre ce niveau de complexité. Le dialogue entre chercheurs aux expertises différentes stimule la qualité des protections que nous développons.

[divider style= »normal » top= »20″ bottom= »20″]

Renouvellement de la chaire Cybersécurité des infrastructures critiques (Cyber CNI)

Lancée en janvier 2016 et après 3 années de fonctionnement, la Chaire dédiée à la Cybersécurité des Infrastructures Critiques (Cyber CNI) est renouvelée pour une période équivalente grâce à l’engagement de ses partenaires académiques et industriels. Chaire de l’IMT, portée par IMT Atlantique, elle s’appuie sur le partenariat des écoles Télécom ParisTech et Télécom SudParis et bénéficie, dans le cadre du Pôle d’excellence Cyber, du soutien de la région Bretagne, un territoire à la pointe de la cybersécurité. Dans le cadre d’un partenariat de mécénat porté par la Fondation Mines-Télécom, cinq partenaires industriels s’engagent pour cette nouvelle période : AIRBUS, AMOSSYS, BNP Paribas, EDF et Nokia Bell Labs. La signature de renouvellement de la chaire a eu lieu le 22 janvier à Lille, à l’occasion du FIC (Forum International de la Cybersécurité).

Lire l’actu sur I’MTech : La chaire cybersécurité des infrastructures critiques renouvelée pour 3 ans

[divider style= »normal » top= »20″ bottom= »20″]