Du code malveillant touche des contrôleurs de sécurité industrielle Triconex

Numéro : AL17-015
Date : Le 21 décembre 2017

Objet

La présente alerte vise à attirer l’attention sur un incident divulgué récemment et publiquement, au cours duquel le fonctionnement d’une usine de transformation industrielle s’est interrompu de façon imprévue.

Évaluation

On a découvert que l’auteur de cet incident avait employé une instance de code malveillant spécialement conçu en vue de compromettre le fonctionnement de contrôleurs de sécurité industrielle Triconex de Schneider-Electric. Des sources publiques et des rapports médiatiques indiquent que ce maliciel porte les noms TRITON, TRISIS et HatMan.

Bien qu’il n’existe actuellement aucune information qui laisse penser que l’activité associée à cet incident est répandue, l’accès au réseau de sécurité industrielle permet tout de même le déploiement ainsi que l’exécution de code malveillant. La mise en application des directives de sécurité du fabricant devrait constituer une mesure d’atténuation suffisante à cet égard.

Il faut effectuer la segmentation réseau et mettre en place des contrôles d’accès et d’authentification robustes dans le cadre du déploiement de contrôles de processus et des systèmes de sécurité connexes. C’est également vrai dans le cas de l’automatisation et d’autres types de contrôles, car les protocoles de communications qui y sont employés ne possèdent généralement pas les contrôles de l’authentification et de l’intégrité nécessaires en vue d’empêcher l’exécution d’attaques de réinsertion réseau ou de contrefaçon de messages.

L’ICS-CERT a publié un rapport d’analyse de maliciel (MAR-17-352-01 HATMAN) qui décrit les tactiques, techniques et procédures associées à ce code malveillant. Cet organisme y indique que les activités de ce code, quoique sans conséquence catastrophiques (les systèmes de sécurité ne contrôlent pas directement le processus, donc leur dégradation n’entraîne pas un mauvais fonctionnement du processus connexe), peuvent tout de même causer d’importants dommages si on les emploie conjointement à un maliciel qui touche le processus.

Mesures Recommandées

Recommandations relatives à la sécurité de Schneider

Schneider Electric recommande à ses clients de suivre les directives comprises à la section « Security Considerations » (facteurs relatifs à la sécurité) du document Planning and Installation Guide (guide de planification et d’installation) de leur contrôleur Triconex (Tricon, Trident ou Tri-GP). On y retrouve notamment les directives suivantes les suivantes.

Références (En Anglais) :

Note aux lecteurs

En appui à la mission de Sécurité publique Canada de bâtir un Canada sécuritaire et résilient, le mandat du CCRIC est d'aider à assurer la sécurité et la résilience des cybersystèmes essentiels non gouvernementaux à la base de la sécurité nationale, de la sécurité publique et de la prospérité économique du pays. À titre d'équipe d'intervention en cas d'incident lié à la sécurité informatique du Canada, le CCRIC agit comme centre national de coordination pour la prévention, l'atténuation, l'intervention et le rétablissement liés aux incidents cybernétiques commis contre des systèmes non fédéraux. Pour ce faire, il formule des conseils éclairés, offre du soutien et coordonne l'échange de renseignements ainsi que l'intervention.

S'il vous plaît noter que la clé PGP du CCRIC a récemment été mise à jour.
http://www.securitepublique.gc.ca/cnt/ntnl-scrt/cbr-scrt/_fl/CCIRCPublicPGPKey.txt

Pour obtenir des renseignements de nature générale, veuillez communiquer avec la division des Affaires publiques de l'organisme :

Téléphone : 613-944-4875 ou 1-800-830-3118  
Télécopieur : 613-998-9589 
Courriel : ps.communications-communications.sp@canada.ca

Date de modification :