CLUSIF : la sécurité des systèmes industriels

Je ne connaissais pas Le CLUSIF jusqu’au dernier weekend quand j’ai lu à propos d’une conférence sur la sécurité des systèmes industriels. Le Clusif est une association qui promeut la sécurité numérique en France. Par exemple, il a contribué à faire le kit de sensibilisation de Cybermalveillance.gouv.fr. Ce mois-ci, le CLUSIF a organisé une conférence sur le thème de la sécurité des systèmes industrielle où il y avait des experts sur le sujet de la cybersécurité industriel qui donnaient des conseils et recommandations pour améliorer la sécurité dans les systèmes industriels.

D’abord, Theo Gissinger-Schumann (EIFFAGE) a expliqué que la convergence entre l’IT et OT existe depuis plusieurs années avec le but de faire des interconnexions entre ces deux mondes. Il rappelle que les incidents sur l’OT sont plus sérieux et dangereux que ceux sur l’IT d’autant plus que l’impact sur le processus industriel qui parfois est arrêté. De plus, il fait remarquer que les attaques hors ligne coûtent souvent plus chers pour les attaquants par rapport à celles en ligne parce que celles hors ligne impliquent le concours de personnes de l’entreprise qui le font intentionnellement ou non.

Ensuite, Philippe Puyou-Lascassies (TEREGA) qui travaille dans une opérateur d’infrastructures gazières a noté que la sécurité de son réseau est assurée par une DMZ où la partie IT est isolée de la partie industrielle. Il a ajouté que l’entrée de données dans le réseau est interdite sauf exception. Or la sortie d’éléments est possible. Ils ont positionné des diodes pour assurer l’export de fichiers de façon sécurisée. De l’autre côté, l’entrée de données est très surveillée avec un système propriétaire qui alimente un jumeau numérique dans le Cloud.

Puis, David Arnold (Michelin) présente comment la cybersécurité a évolué dans son entreprise depuis l’arrêt d’une usine aux États Unis à cause d’une clé USB qui contenait un malware. Aujourd’hui un service cybersécurité pour l’OT a été créé avec des automaticiens. Il explique que les usines achètent souvent de nouvelles machines et en analysant les contrat de maintenance, la partie patchs de sécurité et plus généralement maintenance en condition opérationnelle pour l’informatique n’étaient pas prise en compte.

Finalement, Baptiste Fouque (ALSTOM) explique que le problème de cette entreprise reste que les agents qui entretiennent les machines ne sont pas les mêmes entre ceux qui l’ont fait par exemple à Paris le matin et à Marseille le soir. Donc, il est nécessaire de fournir une gestion des identités fortes, disponible et alignée sur les besoins des opérateurs : la solution est le jeton. On leur donne des droits ponctuels pour effectuer ses missions, par exemple, en cas de panne en rase campagne, des jetons de mission sont données pour une durée limitée et pour des actions limitées.

Malheureusement, il n’y a pas de vidéos de cette conférence sur la chaîne Youtube de CLUSIF alors que j’ai pu seulement lire des articles sur ce sujet.

Vous avez assisté à cette conférence? Qu’est-ce que vous avez appris ?

Smartphone et forensique : Pégasus

J’ai regardé ce weekend la présentation de Etienne Maynier dans le symposium sur la sécurité des technologies de l’information et des communications (SSTIC), qui est une conférence francophone sur le thème de la sécurité de l’information, oú il a parlé surtout de l’histoire de la société israélienne NSO Group, le fonctionnement de Pégasus et il a détaillé la méthodologie forensique utilisée pour démontrer techniquement l’infection avec le logiciel-espion Pégasus. Je vous recommande vraiment cette présentation pour mettre à jour vos connaissances sur la scène de l’espionnage.

Les attaques informatiques contre les journalistes et les défenseur·ses des droites humaines se sont multipliées dernièrement, bien souvent avec les mêmes outils et techniques utilisées contre des gouvernements ou des entreprises. Dès 2012, il est apparu que plusieurs d’États utilisaient les malwares développés par la première génération d’entreprises d’espionnage, notamment Hacking Team et Gamma Group/Finfisher. En 2016, l’existence de NSO Group a été révélée comme un nouveau leader avec un logiciel-espion appelé Pégasus permettant de pirater des téléphones portables.

Pégasus au Maroc

Pégasus est un malware commercial développé exclusivement pour smartphone et vendu officiellement à des fins de lutte contre le terrorisme. Il se base sur l’utilisation de vulnérabilités 0-day pour l’infection et l’élévation de privilège afin de s’installer au plus haut niveau de privilège du système. Il est malheureusement difficile de savoir à quoi ressemble Pégasus aujourd’hui mais les anciennes versions surveillent l’état du téléphone et suppriment le malware si une tentative de jailbreak est découverte, ou si le malware ne peut pas communiquer avec les serveurs de C&C.

Pégasus pour BlackBerry en 2010

Les chercheurs pensent que les versions récentes de Pégasus n’ont pas de persistance sur le système et sont donc supprimées par un simple redémarrage du téléphone parce que les infections sans clics permettant de réinfecter le téléphone si besoin, rendant très difficile la récupération du logiciel lors d’une analyse. Donc, Amnesty International a développé une méthodologie d’analyse forensique pour identifier des traces de Pégasus sur smartphone. Notamment, il est basé sur les backups sur les iPhone car Android a besoin d’une méthode plus intrusive a cause du jailbreak.

Méthodologie forensique

Afin de simplifier l’analyse de backups, Amnesty International a développé et publié un logiciel (Mobile Verification Toolkit) qui permet à la fois d’aider à l’analyse d’un téléphone, d’extraire les données ainsi que d’identifier de potentielles traces malveillantes à partir d’indicateurs de compromission (IOC). L’analyse d’artefacts est organisée en modules qui sont regroupés par type d’analyse et sont lancés les uns après les autres lors d’un l’analyse.

Mobile Verification Tookit

Pégasus est à la une ces semaines en raison du fait que le gouvernement espagnol l’a utilisé contre des politiciens catalans et c’est pour ça que je voulais lire et apprendre sur ce logiciel-espion.

Qu’est-ce que vous pensez de Pégasus? J’espère vos réponses.

Les fondamentaux de la gestion de crise cyber

La lecture est une activité que j’aime beaucoup. En effet, j’ai écrit sur les livres que j’ai lu dans ce blog. Dans le café de la jeunesse perdu, L’Anomalie, et Trois jours et une vie sont quelques livres en Français que j’ai lu récemment. Or, en tant qu’ingénieur informatique, j’aime aussi lire sur la technologie et la cybersécurité. Ainsi donc, j’ai trouvé ce livre de Laurane Raimondo que je voudrais lire pendant cet été et que je vais te raconter le table de matières au cas où vous voulez aussi le lire.

Le premier chapitre est simplement sur les définitions et origines des crises cyber où on peut comprendre où se trouve le nouvel espace numérique. Néanmoins, le deuxième chapitre semble plus intéressant où Raphaël de Vittoris nous raconte la gestion de crise cyber et classique, entre similitudes et divergences. L’anticipation de la crise cyber : la clé de la réussite est le troisième chapitre qui a un cas concret dont je suis sûre il sera très didactique pour atteindre les objectifs de la gestion de crise cyber.

Ensuite, il y a un chapitre sur la législation qui est vraiment un pilier d’anticipation et de réponse à la crise cyber. C’est vrai que les lois sont différentes dans chaque pays mais le livre remarque aussi les textes européens et internationaux. Le chapitre cinq parle de technique et gouvernance qui sont un équipe indissociable d’autant plus que nous sommes ensemble contre les cyberattaques. Cependant, si vous voulez savoir comment gérer un exercice de gestion cyber, il faut lire le chapitre six où se raconte la formation, la préparation et l’animation d’une simulation.

Puis, on arrive au chapitre sept où nous sommes dans le coeur de la crise cyber grâce à Jérôme Saiz qui raconte depuis le début de la crise jusqu’à la fin. Nous allons savoir comment organiser et réagir avec efficacité. De plus, il est nécessaire de prendre soin des équipes et Jérôme nous dit comment le faire. La communication de crise est une capacité très importante pendant la gestion de crise alors qu’il y a un chapitre pour cela. Le chapitre huit est une présentation de toutes les phases de communication pendant la crise cyber.

Finalement, il y a deux choses que nous oublions de temps en temps. D’abord, la crise n’est pas là pour toujours, c’est pourquoi on doit savoir sortir de la crise. Le chapitre neuf nous le raconte. Ensuite, le dernier chapitre, le dix, s’agit de l’importance du retour d’expérience qui est vraiment important pour l’apprentissage de la gestion cyber. La collecte d’information et le débriefing sont quelques choses qu’on peut trouver dans ce dernier chapitre.

Étant donné que c’est un livre plein de recommandations, je veux le lire cet été. Dans mon cas, c’est une bonne chance d’apprendre français et aussi la gestion de crise cyber.

Qu’est-ce que vous pensez de la gestion de crise cyber? J’espère vos réponses.

Français

Vous avez vu que j’écris en français dernièrement. La raison principale est que je suis en train d’apprendre le français et je dois écrire en français pour améliorer cette compétence. En effet, j’écoute aussi beaucoup la radio en français pour maîtriser cette autre capacité. Cependant, l’apprentissage de la langue française est très difficile pour moi parce que je ne l’utilise pas d’habitude. C’est totalement différent de l’anglais que j’utilise quotidiennement dans mon travail.

Aujourd’hui, je suis vraiment désolé parce que j’ai des examens cette semaine et je dois étudier. Donc, je ne peux rien vous raconter sur la cybersécurité.

À bientôt !