Des chercheurs en sécurité ont créé, pour les besoins de leur démonstration, LogicLocker, un logiciel malveillant capable de bloquer des installations critiques comme une station d’épuration d’eau, ou des installations industrielles  mal protégées, dans le but d’extorquer des rançons.

ð Les « ransomwares industriels », destinés à bloquer les systèmes de contrôle des usines.

Des chercheurs du Georgia Institute of  Technology pensent que ce n’est qu’une question de temps, étant donné le faible niveau de sécurité des systèmes industriels.

Pour montrer l'étendue de la menace, ils ont développé un prototype d’un tel ransomware et l’ont testé sur une maquette représentant  une station d’épuration d’eau d’une ville.

Ils ont présenté leur travail à l’occasion de la conférence RSA 2017, qui s’est tenue à San Francisco.

Baptisé LogicLocker, ce malware est capable d’infecter l’automate programmable industriel (programmable logic controller, PLC) qui régule la désinfection et le stockage de l’eau potable.

ð L’attaque consiste à extraire le code exécutable de l’appareil et de le remplacer par un code malveillant, puis de changer le mot de passe d’accès.

Ainsi, l’attaquant pourra non seulement stopper le processus d’épuration, mais aussi empêcher les ingénieurs de réinstaller le code d’origine sur l’appareil.

Le pirate peut alors envoyer aux responsables de la station d’épuration une demande de rançon assortie d’un ultimatum : s’ils ne paient pas au bout d’un certain temps, le code malveillant va surdoser le produit désinfectant et, ainsi, rendre toute l’eau potable impropre à la consommation.

Une fois la rançon payée, l’attaquant restituera (on peut l’espérer !) le code volé.

Un tel scénario serait envisageable dans n’importe quel domaine, à partir du moment où des automates programmables sont connectés sur un réseau interne ou, même, sur Internet.

Il existe d’ores et déjà des milliers de PLC accessibles par le Web.

Les chercheurs ont en trouvé d’emblée plus de 1400 de marque MicroLogix et 250 de marque Schneider Modicon.

Si les pirates n’ont pas encore exploité ce type d’attaque, ce n’est pas parce que ces automates sont bien sécurisés. En effet, leur manque de protection est bien connu.

« La seule explication est que les cybercriminels n’ont pas encore trouvé le business model qui leur permet d’opérer de manière profitable dans ce type d’environnement », soulignent dans leur étude les chercheurs.

D’abord, le ransomware industriel nécessite plus de recherche et de connaissance.

Par ailleurs, son mode opératoire, très pointu, ne peut, à l’inverse des crypto-ransomwares, qui sont diffusés en masse auprès d’un large parc d’utilisateurs, faire qu’un faible nombre de victimes.

ð Un ciblage sur des acteurs clé, susceptibles de céder, pour des raisons de sécurité publique, ou de coût d’exploitation, au chantage par le versement d’une rançon importante.

Pour être profitable, le ransomware industriel nécessite en effet  le paiement d’une forte rançon.

D’après les chercheurs, ceci n’est le cas que si l’attaque interrompt un processus particulièrement critique.

Ainsi, par exemple, chaque heure d’inactivité dans une chaîne de production d’un constructeur automobile se traduira par des pertes de millions de dollars.

Le risque de sabotage matériel et d’atteinte à l’intégrité physique de personnes permettrait également de faire monter le montant de la rançon.

Il ne faut pas négliger,  non plus, dans le cas d’installations critiques, les risques de menaces terroristes.

Pour se protéger contre cette future menace, les chercheurs préconisent des stratégies de défense classiques, mais efficaces :  

Protéger l’appareil avec un bon mot de passe et ne pas le connecter sur Internet

Désactiver les protocoles inutiles

Surveiller les flux réseaux  etc…

Le problème, est que le secteur industriel reste encore assez peu sensible aux problématiques de la sécurité informatique.