Les outils d'administration à distance (RAT) légitimes sont depuis longtemps un sujet très controversé. S'ils permettent aux utilisateurs d'éviter un accès direct au matériel, il peut également présenter de nombreux risques pour les systèmes informatiques en accédant à distance à des dispositifs arbitraires. En particulier dans un environnement industriel, un tel accès à distance peut être dangereux. Des experts en sécurité informatique ont mené une analyse concernant la prévalence des RAT sur les ordinateurs industriels, ainsi que les dommages éventuels pouvant résulter des logiciels de maintenance à distance.
Les RAT : utiles mais risqués
Selon les statistiques obtenues, au premier semestre 2018, des RAT légitimes ont été installés sur un ordinateur sur trois des systèmes de contrôle industriel fonctionnant sous Windows. Par systèmes industriels, nous entendons les serveurs SCADA et historiens, les passerelles de données, les postes de travail des ingénieurs et des opérateurs, et les IHM des postes de travail.
Parfois, les administrateurs et les ingénieurs locaux utilisent les RAT dans leur travail quotidien. Et parfois, des parties externes telles que des intégrateurs de systèmes ou des concepteurs de systèmes de contrôle industriel ont besoin d'un accès à distance pour le diagnostic, la maintenance et le dépannage. En fait, dans certains cas, les RAT ne sont pas utilisées à des fins opérationnelles, mais bien plus pour réduire les coûts de service encourus. Et même s'ils sont nécessaires aux processus technologiques quotidiens, il vaut la peine d'évaluer les risques potentiels et les processus de restructuration possibles pour réduire la surface d'attaque.
En outre, on ne peut exclure que les acteurs de logiciels malveillants utilisent des logiciels de télémaintenance légitimes comme outil d'attaque pour tromper les solutions de protection existantes.
Quel est le problème ?
Tous les spécialistes ne semblent pas comprendre les dangers des RAT dans les réseaux industriels. Nos collègues ont fait les constatations suivantes concernant les RAT dans les systèmes qu'ils ont examinés :
- Les privilèges du système ont souvent été utilisés ;
- Les administrateurs n'avaient pas la possibilité de restreindre l'accès au système ;
- L'authentification multifactorielle n'a pas été utilisée ;
- Il n'y avait pas d'enregistrement des actions des clients ;
- Ils présentaient des vulnérabilités, y compris des vulnérabilités déjà connues (c'est-à-dire que les entreprises ne mettent pas à jour leurs RAT) ;
- Ils ont utilisé des serveurs relais qui ont permis de contourner les restrictions NAT et les pare-feu locaux ;
- Dans la plupart des cas, des mots de passe par défaut ou des informations d'identification codées en dur ont été utilisés ;
- Dans certains cas, les équipes de sécurité ignoraient tout simplement l'existence des RAT, pour cette raison, ce vecteur d'attaque n'était souvent pas pris en compte ;
- Toutefois, le principal problème est que les attaques de RAT sont très difficiles à distinguer des activités normales. En analysant les incidents ICS, nos experts CERT ont rencontré de nombreux cas où les cybercriminels ont utilisé des logiciels de maintenance à distance pour des attaques.
Comment limiter les risques ?
Pour minimiser le risque de cyberincident, les experts de la sécurité informatique recommandent ce qui suit :
- Les entreprises doivent passer en revue toutes les applications et tous les outils de télémaintenance utilisés sur leur réseau. Toutes les RATs qui ne sont pas nécessairement nécessaires dans le processus industriel doivent être supprimées ;
- Les RAT installées avec le logiciel ICS doivent être identifiées et désactivées si elles ne sont pas nécessaires au processus industriel. Vous trouverez des informations détaillées à ce sujet dans la documentation du logiciel correspondant ;
- Tout accès à distance nécessaire doit faire l'objet d'une surveillance et d'une journalisation complètes. La possibilité d'accès à distance doit être désactivée par défaut et n'être accordée qu'en cas de nécessité et pour une durée limitée.