Une faille du contrôleur logique Siemens S7-1500 soulève le spectre de Stuxnet

Étant donné que le micrologiciel sous-tend les fonctions d’un appareil, la possibilité de modifier silencieusement le micrologiciel saperait toutes les autres protections de sécurité et donnerait à un attaquant le contrôle total de l’appareil sans que son propriétaire se rende compte que quelque chose a changé.

«Ce noyau cryptographique séparé est une puce très rudimentaire. Ce n’est pas comme un gros processeur, donc il ne sait pas vraiment à qui il parle ou ce qui se passe dans un contexte plus large », explique Skipper de Red Balloon. « Donc, si vous pouvez lui dire les bonnes choses que vous avez observées, le processeur vous parlera comme si vous étiez le processeur. Nous pouvons donc nous placer entre le processeur et le cœur de chiffrement, puis nous lui disons en gros : « Hé, nous sommes le processeur et nous allons vous donner des données et nous voulons que vous les cryptiez ». Et le petit noyau crypto ne va pas remettre cela en question. Ça le fait tout simplement.

Siemens note que les vulnérabilités ne sont pas liées au processus de mise à jour du micrologiciel de l’entreprise et ne donnent pas aux attaquants la possibilité de détourner ce canal de distribution. Mais le fait que n’importe quel S7-1500 puisse devenir un oracle bénissant le micrologiciel est significatif et confère un pouvoir que les appareils individuels ne devraient pas avoir, ce qui compromet l’objectif de cryptage du micrologiciel en premier lieu.

« Les S7 ne devraient pas pouvoir rechiffrer le micrologiciel pour d’autres S7 », déclare Ang Cui, fondateur et PDG de Red Balloon Security. « Il s’agit d’un défaut de conception fondamental et d’une erreur de mise en œuvre importante. »

Bien que Siemens ne publie pas directement de correctifs pour la vulnérabilité, la société affirme qu’elle est en train de publier un matériel de processeur de nouvelle génération qui corrige la vulnérabilité pour plusieurs modèles S7-1500. Et la société affirme qu’elle « travaille sur de nouvelles versions matérielles pour les types d’automates restants afin de résoudre complètement cette vulnérabilité ». Les chercheurs de Red Balloon disent qu’ils n’ont pas encore été en mesure de valider de manière indépendante que la vulnérabilité a été corrigée dans ce dernier matériel S7-1500.

Pourtant, les chercheurs de Red Balloon Security affirment qu’il serait possible pour Siemens de publier un outil d’audit du micrologiciel pour n’importe quel automate afin de vérifier s’il y a eu altération de l’appareil. Étant donné que la vulnérabilité persistera sur les appareils concernés, une telle fonctionnalité donnerait aux propriétaires de S7-1500 un meilleur aperçu de leurs API et la possibilité de les surveiller pour toute activité suspecte.

« C’est le même film, juste un jour différent », explique Cui de Red Balloon. « La sécurité matérielle très complexe et exotique améliore-t-elle la sécurité globale ? Eh bien, si vous le faites correctement, cela pourrait aider, mais je n’ai vu aucun humain le faire correctement. Lorsque vous le faites mal, cela devient toujours une épée à double tranchant – et le tranchant de cette épée est très tranchant.

Bien que Siemens affirme qu’il traite la vulnérabilité du S7-1500 dans de nouveaux modèles, la population de 1500 vulnérables dans les systèmes de contrôle industriel et d’infrastructures critiques dans le monde est importante, et ces unités resteront utilisées pendant des décennies.

« Siemens dit que cela ne sera pas corrigé, donc ce n’est pas simplement un jour zéro – cela restera un jour pour toujours jusqu’à ce que tous les 1500 vulnérables soient hors service », déclare Cui. « Il pourrait être dangereux de laisser cela sans réponse. »