Bruno HÉNON - Automaticien Indépendant Services en automatisme industriel, études, programmation, installation, réglages, sous-traitance

Cyber-sécurité et logiciels de protection en informatique.

Sûreté informatique
       

  Automation > Ressources > Technologie > Sécurité informatique  

  Générateur de documentation

Sommaire automatisme industriel  

SÉCURITÉ ET MAINTENANCE EN INFORMATIQUE

Vos systèmes de contrôle sont ils sécurisés ? , Améliorer la sécurité de vos systèmes de contrôle, Observatoires d'incidents de sécurité, Logiciels de sécurité réseaux, Logiciels de sécurité individuels, Logiciels de sécurité pour téléphones mobiles.

Vos Systèmes De Contrôles Sont Ils Bien Sécurisés ?

Les automaticiens sont de plus en plus confrontés aux architectures de communication ouvertes, de par le nombre croissant de pont internet / Ethernet installés et donc de leur ouverture croissante au monde extérieur à l'entreprise.

En fait, les chemins pris par l'information numériques deviennent de plus en plus complexes.

Les conséquences en sont qu'il y a de plus en plus de failles de sécurité, et que les réseaux de communication industriels aussi bien que les consoles de programmation et de maintenance deviennent de plus en plus sensibles à la cyber-criminalité.


L'une des preuves les plus convaincantes en est la détection du virus Stuxnet dans les années 2009-2010, mais il semble qu'il était déjà en place depuis des années.

Ce virus a infecté mondialement des dizaines de milliers de systèmes de contrôle industriel d'un modèle répandu.

Finalement, une fois introduit dans les systèmes de l'unique société apparemment ciblée (probablement à partir d'une clé USB), le virus a attaqué les systèmes de contrôle jusqu'aux automates programmables au travers des interfaces opérateurs (qui utilisent un système d'exploitation commercial non industriel), avec l'objectif de casser les machines ciblées, et peut être même de blesser les opérateurs.

Pourtant, il a été dit que le réseau industriel du site en question n'était connecté ni à Internet, ni à aucun autre réseau extérieur.

Il en résulta que la plupart des milliers de machines visées ont été mises hors de service, peut être toutes.

Il semble qu'il ait fallu plus d'un an pour éradiquer le virus dans l'usine, sans aucune certitude ni aucune garantie quant à sa destruction. La production a été arrêtée pour des années, peut être définitivement.

Il semble que c'est la première fois qu'un tel objectif a été recherché, et selon les experts, des parties du programme de Stuxnet sont très sophistiquées et n'avaient jamais été vues auparavant.

Depuis la détection du virus, le fournisseur du système de contrôle concerné délivre un patch de sécurité contre le virus Stuxnet.


L'apparition de Stuxnet a été exceptionnelle, mais la plupart des incidents de sécurité détectés ont couramment pour cause l'objectif de voler des données stratégiques d'une société (y compris une entreprise industrielle) en utilisant des défauts dans les logiciels ou des failles dans les systèmes, sans parler des causes d'origine humaine (faites très attention à tous les équipements USB par exemple).


De plus, il faut garder à l'esprit que beaucoup des incidents de vulnérabilité sont détectés sur des systèmes inter-connectés, c'est à dire mettant en oeuvre des réseaux.


Autres conséquences, le domaine public devient de plus en plus vulnérable lui aussi (en particulier dans des domaines aussi stratégiques que la production et le transport de l'énergie, le traitement d'eau etc), depuis qu'Internet est de plus en plus utilisé pour relier les systèmes avec les utilisateurs et les services de gestion.

Les grilles "intelligentes" (smart grids) programmées dans un futur proche pour gérer la distribution des énergies et de l'eau ne vont pas aider, elle vont même très probablement amplifier le phénomène.

Et ce sans parler de l'utilisation des applications informatiques en "nuage" (cloud).

Nous n'avons qu'à nous référer aux derniers désastres numériques subis par l'Estonie (en 2007 et après) et par la Lituanie (en 2008 et après) pour en être convaincu.

Que pourra produire une usine lorsque toute la distribution d'électricité sera bloquée ?

Ce sont des faits, et rien que des faits. Malheureusement, ce n'est qu'un début.

Pour les années à venir, le potentiel des cyber-guerres ne semblent plus être seulement de la théorie.


Par conséquent , il peut être judicieux qu'un automaticien suive l'actualité en ce qui concerne les vulnérabilités informatiques, et qu'il sache protéger ses systèmes de contrôle contre des attaques informatiques.

Et il peut être tout aussi judicieux qu'un PDG ou un directeur général connaisse la vulnérabilité de ses usines, la vulnérabilité de ses fournisseurs et la vulnérabilité de toutes les sociétés qui interagissent numériquement avec son entreprise.

Surtout, un dirigeant devrait être conscient des conséquences qu'une attaque informatique pourrait avoir pour l'ensemble de sa compagnie.

Quelle que soit l'entreprise, une des voies qui permette de se faire une idée sur la sécurisation de ses systèmes et sur les risques encourus est de demander à des "pirates blancs" (white hackers) et (ou) à une agence gouvernementale d'auditer ses systèmes informatiques dans leur totalité, ainsi que tous les services numériques qu'elle produit ou qu'elle consomme.

Quelles Solutions Pour Sécuriser Vos Systèmes De Contrôle ?

Il y en a beaucoup, mais pour n'en citer que quelques unes, voici quelques humbles suggestions.


Observatoires d'Alertes De Sécurité Et De Vulnérabilités

Centre de ressources sur la sécurité informatique, Base de données "Open source" des vulnérabilités, Alertes de sécurité des systèmes de contrôle, Articles de presse sur la sécurité des systèmes de contrôle.

Observatoire De Sécurité Informatique Et Internet  

SECUOBS est un centre de ressources sur la sécurité en informatique et sur la sécurité des accès à Internet.

Il vous tient au fait de l'actualité sur tout ce qui se passe dans le monde en terme de sécurité des systèmes informatiques.


Vous actualiserez vos connaissances en vous informant sur l'émergence de nouvelles attaques virales ou la découverte de nouvelles failles de sécurité.

Vous pourrez lire avec profit les articles les plus récents sur la sécurité, les derniers "exploits" de piratage, le piratage informatique, les dernières attaques, plus des outils et conseils de protection.

Vous pourrez aussi y découvrir les dernières failles détectées et les dernières attaques de virus informatiques répertoriées.


"SECUOBS" vous propose également des tutoriels et des conseils pour vous aider à améliorer la sécurité de vos systèmes.

Cerise le gâteau, vous pourrez y parcourir les revues de la presse francophone et de la presse internationale dédiées à la sécurité des systèmes numériques.

www.secuobs.com

MITRE - Une Base De Données Open Source Des Vulnérabilités  

"MITRE" remplace l'observatoire de sécurité numérique "OSVDB", qui a arrêté d'archiver les accidents de vulnérabilité, à cause du manque de soutien et de contribution de la part des industriels.

"OSVDB" répertoriait toutes les vulnérabilités de systèmes de transmission de l'information détectées et signalées depuis le 7 Novembre 1902 (incidents de piratage de données transmises avec le télégraphe Marconi, transmission sans fil oblige !).

Dans tous les cas, bravo à toute l'équipe d'OSVDB pour le travail effectué pendant ce temps.


Vous vous apercevrez que dans les systèmes de production industriels, ce sont souvent les systèmes de supervision SCADA qui sont visés et qui sont particulièrement vulnérables (ils sont souvent implémentés dans des systèmes d'exploitation grand public).

Ce sont aussi des composants Ethernet (commutateurs, cartes réseaux), des logiciels d'analyse de trafic réseau, des automates programmables (mauvaises implémentation du protocole) etc.

Vous pouvez filtrer la recherche par les termes que vous souhaitez, en entrant une requête dans le champ de saisie tout en bas de la page du lien en titre (comme ici "industrie", qui permet de lister toutes les vulnérabilités répertoriées dans l'industrie).

Vous pouvez également le moteur de recherche de la base de donnée des vulnérabilités, qui présente peut être plis clairement les résultats.

https://cve.mitre.org

Alertes De Sécurité Des Systèmes De Contrôle (ICS-CERT)  

Ce service diffuse une liste d'alertes portant sur les failles critiques ou sensibles détectées dans les systèmes de contrôle industriels (automates programmables, réseaux, interfaces opérateurs etc) et en informe les fabricants, en leur demandant de mettre en place une correction.

Comme vous pourrez le constater, la liste est longue.


L'ICS-CERT (Service de traitement des risques informatiques critiques des systèmes de contrôles industriels) est une agence gouvernementale Nord Américaine qui traite exclusivement de la sécurité informatique des systèmes de contrôle utilisés dans l'industrie, quel que soit le domaine d'application.

L'organisation propose aussi tout un ensemble de documents très intéressants sur les pratiques de sécurité informatique recommandées pour les systèmes de contrôle.

https://ics-cert.us-cert.gov/

Revue De Presse Sur La Sécurité Des Systèmes De Contrôle  

Logiciels De Sécurité Réseau

Authentification FreeRadius, Tunnel Privé Virtuel, Protocole Open SSL, NMAP;

Free Radius, Serveur d'Authentification  

FreeRadius est un serveur d'authentification libre et open source basé sur le protocole d'authentification Radius.

Il est le seul serveur open source Radius (2014) à utiliser le protocole EAP (Protocole d'Authetification Extensible) et à supporter les serveurs virtuels.

FreeRadius est le serveur d'authentification le plus utilisé dans le monde.


FreeRadius est utilisé par les fournisseurs d'accès Internet (FAI), par les fournisseurs de réseaux de téléphonie cellulaire, par les constructeurs de matériels périphériques Ethernet, et par n'importe qui voulant sécuriser son réseau IP, câblé ou sans fil (avec n'importe quel équipement supportant un client Radius en fait).

FreeRadius est diffusé avec des compilations binaires disponibles pour beaucoup de systèmes d'exploitations, en particulier pour ceux basés sur Unix, Linux et MS Windows.

Sinon, n'importe qui peut construire l'application pour le système d'exploitation qu'il souhaite, en compilant le code source.


FreeRadius a été conçu pour pour gérer et pour contrôler, de manière sûre et en toute sécurité, n'importe quel équipement et n'importe quel utilisateur demandant un accès à un réseau ou demandant un accès à un composant d'un réseau, quelle que soit la technologie utilisée pour transmettre les données.


Avant tout, Radius est un protocole réseau destiné à sécuriser les échanges de données en gérant et en contrôlant les accès.

Il est implémenté dans une architecture client-serveur, et nécessite au moins un serveur Radius pour communiquer avec au moins un client Radius.

FreeRadius est un système AAA (Authentification, Autorisation, Gestion de compte). Il supporte Internet, Ethernet et tous les réseaux IP, les réseaux sans fil, les réseaux privés virtuels (VPN) et caetera.

Toutes les données échangées entre un client et un serveur Radius sont cryptées.


L'authentification fait référence au processus de validation de l'identité de l'utilisateur (qui peut être une personne ou un équipement matériel).

Le procédé d'authentification peut utiliser un nom d'accès (login), un mot de passe, une localisation, l'adresse MAC (Media Access Control address) de l'équipement qui veut se connecter et beaucoup d'autres données pour contrôler dans quelles zones tel ou tel utilisateur peut accéder (voir l'autorisation ci-dessous).


L'autorisation fait référence à la gestion des permissions à accorder à l'utilisateur.

Où est il autorisé à aller, et qu'a t'il le droit d'y faire ?


La gestion de compte fait référence aux ressources qu'un utilisateur consomme.

Elle est généralement utilisée par des services payants afin d'établir une facture (en contrepartie des services utilisés auprès d'un fournisseur d'accès Internet par exemple, ou en contrepartie des services utilisés auprès d'un opérateur de téléphonie mobile par exemple).


L'organisation FreeRadius fournit toute la documentation souhaitée à partir de son site web uniquement en langue anglaise.

Toutefois, vous pouvez télécharger au format .pdf de la documentation sur FreeRadius et sur le protocole EAP en français ( ) à partir du site d'Aurélien GÉRON (http://aureliengeron.free.fr), pour le cas éventuel où vous seriez allergique au parlé grand-breton.

http://freeradius.org/

Open VPN, Réseau Privé Virtuel  

Un "tunnel privé virtuel" (VPN) agit comme un tunnel sécurisé situé à l'intérieur d'un réseau public.

Il transmet des données sécurisées d'un point authentifié à un autre point authentifié en encapsulant des données compressées et cryptées à l'intérieur des trames du réseau public.

"Open VPN" achemine les paquets TCP (paquets du protocole de transmission) en utilisant les ports UDP (port de données utilisateur).


"Open VPN" protège les échanges de données contre les attaques passives et actives, et il est utilisable avec des adresses statiques ou dynamiques, à la fois pour les réseaux étendus (WAN) et pour les réseaux locaux (LAN).

Tout ce qui concerne la sécurité au sein de "Open VPN" est basé sur le protocole Open SSL.


Nous pouvons bénéficier d'Open VPN pour accéder en toute sécurité à des équipements distants.


Pour renforcer la sécurité des communications, "Open VPN" peut (doit ???) être utilisé en conjonction avec un ou plusieurs serveurs d'authentification FreeRadius.


Open VPN est un projet libre et open source.

http://openvpn.net

Open SSL  

"Open SSL" est une librairie libre et open source qui implémente le protocole SSL (Secure Socket Layer) et le protocole TLS (Transport Layer Security).

"Open SSL" est utilisé par de très nombreuses applications populaires (Open VPN ou FreeRadius pour n'en citer que quelques unes, mais aussi le protocole "https"), et par un nombre très important d'organisations diverses.


Le protocole SSL crypte les communications établies entre deux noeuds d'un réseau, en utilisant une clé publique et une clé privée.

Il a été conçu pour faire communiquer un serveur web et une application web client au travers d'Internet.


Le protocole TLS est une évolution du protocole SSL, avec une robustesse et une sécurité améliorés.

www.openssl.org

NMAP - Scanner De Sécurité Réseau  

"NMAP" (Cartographe réseau) est un ensemble de logiciels libres et open source conçus pour contrôler et vérifier la sécurité des réseaux basés sur Ethernet, pour tout un réseau étendu jusqu'à un hôte unique, y compris les réseaux sans fil.

"NMAP" scrute tous les hôtes actifs et tous les ports TCP et UDP disponibles dans un réseau IP, puis il vérifie avec plusieurs techniques différentes s'il est facile de s'y introduire, et où se situent les faiblesses éventuelles.

"NMAP" est destiné aux administrateurs réseau, et peut être associé à d'autres outils comme "ZenMap", "Ndiff" ou "Nping", tous disponibles sur le site web de NMAP.

https://nmap.org/

Logiciels De Protection Contre les Risques En Informatique

Logiciels pare-feux, Logiciels anti-virus, Logiciels anti-espions, Projet TOR.

Logiciels Pare-Feux, Firewalls Et Boucliers Réseaux
Logiciels Anti-Virus
Logiciels Anti-Espions
Projet TOR - l'Anonymat Et La Confidentialité Pour Tous  

Depuis que naviguer sur le web signifie être suivi par les publicistes, par les fournisseurs d'accès internet, par les pirates, par les moteurs de recherches et par encore beaucoup d'autres organisations, un technicien veut peut être se prémunir contre l'analyse de trafic.

Ou bien une connexion à un contrôleur distant doit être établie pour y effectuer des opérations de maintenance, et l'ingénieur ne souhaite pas prendre le risque d'être suivi par des pirates par exemple.

Le "projet TOR" empêche d'être suivi, il rend un utilisateur anonyme et permet aux données de rester confidentielles en fournissant des outils très utiles.


Le concept de base sur lequel repose "TOR" est d'acheminer les requêtes web et les réponses au travers de réseaux privés virtuels (VPN) chaînés successivement et organisés en une architecture en "couche d'oignons", en cachant (ou en transformant) votre adresse IP, votre localisation et quelques autres informations (voir la section "à propos de TOR" pour plus d'informations).

Conçu à l'origine par la marine américaine, le "projet TOR" est maintenant un projet libre et open source très populaire utilisé dans le monde entier.

Pour la bonne et simple raison qu'augmenter le nombre d'utilisateurs augmente les capacités d'anonymat.


Le "projet TOR" fournit plusieurs applications, dont le TOR project bundle (navigation privée avec le navigateur Firefox), TORbirdy (une application client de courrier privé utilisant Thunderbird), Tails (un système d'exploitation très sécurisé basé sur Linux et sur le "projet" TOR, qui met en oeuvre des techniques d'anonymat et de confidentialités très robustes) et d'autres outils encore (voir la section "projets" pour plus d'informations).

www.torproject.org

Logiciels De Sécurité Pour Téléphones Mobiles

Sécurisation des téléphones mobiles, Assurer la confidentialité sur les téléphones mobiles.

Avast - Application Libre De Sécurité Pour Les Téléphones Mobiles  

La société Avast diffuse une version libre de son outils de sécurité pour téléphone mobile, destinée aux équipements fonctionnant sour le système d'exploitation Androïd.

Le logiciel "Avast mobile security" vous prémunit contre les virus et autres logiciels mal intentionnés (oui, oui, quoi qu'on en dise, des logiciels malveillants sont capables d'attaquer le système d'exploitation Linux), et contre les sites web infectés.

Il peut aussi bloquer des numéros de téléphone spécifiques, il peut agir comme un pare-feu si vous avez besoin de cette fonction, et il suit votre téléphone mobile au cas où il aurait été volé ou au cas où vous l'auriez perdu, vous aidant à le récupérer.

www.avast.com/fr-fr/

Orbot - Anonymat Et Confidentialité Pour Les Téléphones Mobiles  

"Orbot" est un projet libre et open source qui repose sur le projet TOR, fournissant les mêmes fonctionnalités.

"Orbot" a été spécialement conçu et adapté pour fonctionner avec les téléphones mobiles utilisant le système d'exploitation Android.

https://guardianproject.info/

Partager cette page :

       


© www.bh-automation.com