Blog GlobalSign

18 juil. 2019

Malware Triton : protégez votre réseau contre les dernières menaces

Les logiciels malveillants ou malwares représentent une menace depuis qu’Internet existe. Les pirates informatiques imaginent en permanence de nouveaux stratagèmes pour exploiter applications, sites Web et réseaux en vue d’inoculer leurs virus. Tout dispositif compromis devient dangereux pour l’utilisateur et l’ensemble des collaborateurs qui appartiennent à la même entreprise.

Les malwares sont généralement associés à un contexte de cyberattaques dont l’objectif est de dérober des renseignements personnels ou de faire tomber un site Web. Or aujourd’hui, avec la multitude de nouveaux appareils connectés à Internet, le danger peut prendre une forme plus physique. Triton est un type de malware considéré comme un virus informatique capable de tuer à cause du rôle qu’il pourrait jouer dans le déclenchement d’une catastrophe industrielle.

Dans ce billet, nous nous pencherons sur les grandes tendances de l’Internet des Objets (IoT) à travers le monde et les répercussions potentielles du malware Triton sur l’avenir de l’IoT.

Nouvelles infrastructures dans l’industrie

Le mouvement de l’IoT a permis de doter une collection croissante d’équipements et d’appareils d’une connectivité Internet. Fini le temps où il fallait installer un modem commuté à la maison ou au bureau pour gérer un seul ordinateur fixe ou portable. Avec la généralisation du WiFi, des dizaines d’appareils peuvent désormais se connecter en continu au même réseau d’un foyer.

Les enceintes connectées capables de recevoir des commandes vocales et d’effectuer certaines actions sont un exemple d’équipement IoT particulièrement répandu. D’autres appareils intelligents comme les ampoules électriques, les caméras de sécurité, les thermostats et même les cafetières peuvent être contrôlés depuis une application mobile. Le principe consiste à améliorer la flexibilité et la simplicité d’utilisation de certains appareils classiques en les dotant d’une connectivité Internet. Mais le problème est que cela rehausse d’un cran le niveau de complexité de la sécurisation d’un réseau domestique.

Entre-temps, la vague IoT a également déferlé sur le monde des affaires, et notamment dans les industries manufacturières. Pour surveiller leurs niveaux de production et de sécurité, les entreprises installent désormais des capteurs intelligents à chaque étape de leur cycle de production. Les informations recueillies sont transmises à de puissants systèmes d’analyse afin d’alimenter la veille économique.

La découverte de Triton

La première instance du malware Triton a été découverte en 2017 dans une usine pétrochimique d’Arabie saoudite. Les experts en cybersécurité ont repéré un logiciel qui avait été déployé sur le réseau local de l’usine par un groupe de pirates informatiques. Or, ce logiciel permettait de récupérer des droits d’accès de haut niveau pour accéder aux systèmes de sécurité internes comprenant notamment des capteurs spéciaux conçus pour détecter toute situation dangereuse et déclencher des procédures d’arrêt en cas d’urgence.

En compromettant les systèmes de sécurité, les pirates pouvaient les contrôler à distance via Internet. Dans un scénario catastrophe, ils auraient pu désactiver les capteurs ou leur communiquer des données erronées et déclencher ainsi une catastrophe potentiellement mortelle.

Le logiciel malveillant a heureusement été repéré avant l’exécution d’une seconde attaque. Depuis la découverte initiale du malware, une équipe chevronnée d’experts en cybersécurité effectue du reverse-engineering pour disséquer Triton.

Malgré les avancées des experts, la menace Triton n’a pas disparu pour autant. De nouvelles formes de logiciels malveillants ont fait leur apparition sur les réseaux d’autres sites industriels, et les experts pensent que de nombreuses entreprises ignorent même être infectées. Le risque est de voir ces entreprises attribuer leurs dysfonctionnements à des problèmes mineurs, sans mesurer l’ampleur de ce qui se trame en coulisses.

L’impact de Triton sur l’Internet des Objets

Chaque objet IoT que l’on ajoute chez soi ou au bureau représente une nouvelle vulnérabilité pour le réseau local auquel il est rattaché. Les risques accrus que font peser ces appareils intelligents tiennent souvent au système d’exploitation simplifié qu’ils utilisent pour remplir leurs fonctions de base.

Les pirates informatiques chercheront toujours la voie d’infiltration la plus efficace. Autrement dit, même si leur but ultime est de faire tomber un serveur de back-end, rien ne les empêche de lancer leur attaque à partir d’un autre équipement. Avec l’expansion des réseaux qui accueillent toujours plus d’équipements IoT, il devient d’autant plus difficile de se protéger en ligne.

Au vu des risques pour la santé et la sécurité, les gouvernements prennent également conscience de l’enjeu de la cybersécurité face à des logiciels malveillants comme Triton, et du rôle qu’ils ont à jouer. Dans un avenir proche, les fabricants d’appareils intelligents seront tenus de respecter des normes plus strictes sur les méthodes de sécurisation des logiciels intégrés à leurs produits.

Comment les industries peuvent-elles se protéger ?

Compte tenu des enjeux, les entreprises industrielles doivent aussi intervenir le plus en amont possible pour se protéger de Triton et d’autres formes de malwares similaires. De nouveaux types de pare-feu et de systèmes de détection des intrusions utilisent désormais également l’intelligence artificielle (IA) pour détecter et bloquer les menaces entrantes. Mais aucun de ces outils n’est infaillible.

La formation doit représenter une part importante de toute stratégie de cybersécurité. En entreprise, les collaborateurs doivent savoir quoi chercher et comment préserver leur sécurité et celle de l’entreprise. Pour cela, il existe un moyen simple : il suffit d’exiger que tout collaborateur qui se connecte en ligne depuis les bureaux de l’entreprise utilise un réseau privé virtuel (VPN).

Certains experts en sécurité iraient même jusqu’à recommander la mise à disposition d’un service VPN personnel par l’entreprise à l’ensemble de ses collaborateurs — pas uniquement pour les salariés en télétravail — pour qu’ils l’utilisent systématiquement lorsqu’ils se connectent à Internet, pour quelque raison que ce soit. On peut voir cela comme un avantage professionnel 2.0 qui permettrait d’épargner le réseau de l’entreprise en cas de catastrophe.

En cas d’attaque réussie, l’entreprise doit disposer d’un plan de reprise après sinistre pour être prête à réagir. Face à des malwares comme Triton, tous les équipements et appareils IoT concernés doivent être éteints le plus tôt possible et leurs adaptateurs réseau désactivés. C’est ainsi que l’on empêche le virus de se propager sur le réseau ou les systèmes liés à la sécurité d’être infectés.

Le mot de la fin

Les virus informatiques peuvent avoir des conséquences mortelles, comme en atteste la dangerosité du malware Triton. Un équipement ou objet IoT compromis constitue un handicap majeur pour la sécurité. Un pirate informatique mal intentionné est capable de s’infiltrer sur un réseau et de déclencher une réaction en chaîne pouvant conduire à une véritable catastrophe.

La protection des personnes contre de telles attaques exige une chaîne de responsabilité partagée. Le fabricant d’appareils intelligents doit doter ses produits de protocoles de sécurité renforcés. Les entreprises qui utilisent ces produits doivent bloquer les intrus à l’extérieur de leur périmètre réseau. Enfin, les gouvernements doivent contraindre toutes les entreprises à respecter des normes appropriées pour garantir la sécurité des personnes et éviter les accidents.

Curieux d’en savoir plus sur les solutions pour protéger votre infrastructure d’attaques comme Triton ? Plongez-vous dans notre sélection de ressources ci-après et découvrez les atouts de GlobalSign pour votre entreprise :

https://www.globalsign.fr/fr/blog/cinq-cyberattaques-classiques-dans-l-iot/

https://www.globalsign.fr/fr/blog/cinq-facons-d-ameliorer-la-securite-de-vos-donnees/

À propos de l’auteur

Sam Bocetta est un journaliste indépendant spécialisé dans la diplomatie et la sécurité nationale américaines, avec un focus sur les évolutions technologiques autour des thématiques actuelles de cyberguerre, cyberdéfense et cryptographie. Vous pouvez visiter son site ici.

Partager ce blog

5 cyberattaques classiques dans l’IoT – Un potentiel de nuisance maximum

Qu’est-ce qu’une passerelle IoT et comment la sécuriser ?