Les organisations ont beaucoup de mal à mettre en place des correctifs dans des environnements de type Internet des objets industriel (IIoT) face aux menaces émergentes liées aux technologies de réseaux 4G et 5G. Tel est constat de l’éditeur japonais Trend Micro, ...qui développe des logiciels de sécurité pour les serveurs et les environnements de cloud computing. Un constat dressé dans une étude intitulée Attacks From 4G/5G Core Networks: Risks of the Industrial IoT in Compromised Campus Network, qui énumère sur 64 pages en anglais plusieurs scénarios d’attaques et de parades possibles, établis à partir d’un environnement de test simulant un réseau industriel connecté (voir illustration ci-dessous).
L’étude identifie notamment plusieurs points d’entrée clés permettant aux attaquants de compromettre un réseau 4G/5G. Ainsi, les serveurs hébergeant les services du réseau central présentent des vulnérabilités et des mots de passe identifiés comme “faibles”, tandis que les machines virtuelles ou les “conteneurs” sont également susceptibles d’être exposés si les correctifs les plus récents ne sont pas appliqués rapidement. Du côté des infrastructures réseau, les “appliances" sont souvent négligées lors des cycles de mise à jour, alors qu'au cœur des stations de base 4G et 5G, le firmware nécessite une mise à jour régulière, ce qui est loin d’être le cas dans la réalité. Selon Trend Micro, une fois que l’attaquant s'est introduit au sein du réseau depuis l’un de ces points d’entrée, il tente d’analyser l’infrastructure dans le but d’intercepter et de modifier les paquets du réseau. En ciblant les systèmes de contrôle industriels au sein des environnements de fabrication connectés tels que les centres d’essai, il peut alors accéder à des données sensibles, saboter la production ou exiger une rançon auroès des organisations touchées.
Parmi les onze scénarios d’attaque présentés dans l’étude, l’un des plus dommageables consiste à cibler les serveurs Microsoft Remote Desktop Protocol (RDP), couramment utilisés par les ingénieurs. La mise à niveau vers la 5G ne protégeant pas automatiquement le trafic RDP, les attaquants peuvent potentiellement utiliser cet accès pour télécharger des malwares et des ransomwares, voire détourner directement les systèmes de contrôle industriels. Si RDP v10.0 est la version la plus sécurisée et peut offrir certaines protections contre ces attaques, l’étude montre que les organisations industrielles ont encore du mal à s’organiser efficacement pour procéder aux mises à niveau.
Parmi les recommandations formulées par Trend Micro pour protéger ces réseaux industriels 4G/5G, on notera au premier chef le recours aux VPN ou au protocole IPSec pour sécuriser les canaux de communication, y compris vers les sites distants et les stations de base 4G/5G, ainsi qu'au chiffrement de la couche applicative (HTTPS, MQTTS, LDAPS, VNC chiffré, RDP v10) et aux protocoles industriels sécurisés (tels que S7COMM-Plus). Au-delà, Trend Micro souligne que les solutions EDR (*), XDR (**) ou MDR (***) sont utiles pour surveiller les attaques et analyser l’infrastructure au sein du site et des conteneurs du réseau central, et que la mise en place d’une segmentation correcte du réseau avec un modèle de type VLAN ou SDN est souhaitable. Enfin, l’application rapide des correctifs pour les serveurs, les routeurs et les stations de base 4G/5G est obligatoire, tandis que l’emploi d’applicatifs de détection d’anomalies (tels que la solution Trend Micro Mobile Network Security) qui prennent en charge le réseau du site constituent un moyen efficace pour bloquer les communications émanant des duos appareil/carte SIM non répertoriés.
« Les industriels sont à la pointe du déploiement de l’IIoT avec la 5G, et ils se préparent à exploiter massivement la puissance de la connectivité pour augmenter la vitesse, la sécurité et l’efficacité de leurs dispositifs. Or comme avec toute nouvelle technologie, l’avènement de la 5G résonne avec l’émergence de nouvelles menaces, qui s’ajoutent aux défis de sécurité existants, commente Renaud Bidou, directeur technique Europe du Sud de Trend Micro. Or, comme le souligne l’étude, de nombreuses organisations sont aujourd’hui incapables de procéder aux temps d’arrêt nécessaires pour corriger les vulnérabilités système critiques qui pourraient être exploitées par les attaquants, car les diverses mesures d’atténuation et les bonnes pratiques permettant de protéger les usines connectées ne sont pas correctement mises en place. »
L'étude est téléchargeable gratuitement ici.
(*) EDR (Endpoint Detection & Response) : logiciels surveillant les endpoints (postes de travail, serveurs, tablettes, smartphones, etc.) au sein du système d’Information, et non le réseau
(**) XDR (Extended Detection & Response) : solutions qui offrent aux équipes sécurité une meilleure visibilité sur les menaces en centralisant, normalisant et corrélant les données de sécurité provenant de sources multiples
(***) MDR (Managed Detection & Response) : solutions qui associent des services managés et des solutions de détection et de réponse aux incidents, le tout opéré par un SOC interne ou externalisé, à même de répondre aux menaces de bout en bout