"Hackers", l'analyse du film: épisode 1

Co-écrit par Pierrick et Guillaume.

La cybercriminalité cause annuellement plus de  400 milliards de dollars de pertes, dont plus de 30% concernent des particuliers. Forcément, le sujet fascine et inquiète…et le monde cinématographique y trouve une source d’inspiration fertile où les stéréotypes vont bon train.

Pour la réalisation du film « Hackers » (BlackHat), Michael Mann s’est entouré de spécialistes de la cyber-sécurité. Annoncé avant sa sortie comme un film révolutionnaire sur sa manière de présenter le piratage informatique (plus réaliste), Mickael Mann a pourtant fait l’objet de nombreuses critiques dans le secteur de la sécurité. Avec le film « Hacker »(Blackhat), Michael Mann met en scène de nombreuses cyber-attaques … de façon plus ou moins réaliste.

La Business Unit Risk & Security de HeadMind Partners vous propose un regard inédit sur le film « Hackers ». Découvrez en 4 épisodes notre critique des attaques du film. L’attaque a-t-elle déjà été perpétrée dans la réalité ? La présentation faite par le film est-elle vraisemblable ? Quelles sont les bonnes pratiques pour s’en protéger ?

Ce mois-ci dans l’épisode 1 : la prise de contrôle à distance des équipements d’une centrale nucléaire !

Le film Hackers s’ouvre sur une attaque aux conséquences impressionnantes : l’explosion commandée à distance du réacteur de deux centrales nucléaires… le ton est donné !

Comment l’attaque se déroule-t-elle dans « Hackers »… ?

Deux centrales nucléaires américaine et chinoise sont attaquées par l’intermédiaire d’un RAT.

Un rat ?!

Oui, mais un « Remote Access Tool », un outil d’accès à distance. Ainsi, un homme prend, en quelques commandes depuis chez-lui, le contrôle de la partie informatique qui gère les turbines du système de refroidissement des centrales. Il oblige les appareils de mesure à afficher en permanence les valeurs de contrôle dans le positif et force ensuite les turbines à accélérer leur rotation jusqu’à ce que celles-ci tombent en panne. Il entraine ainsi la fusion instantanée et donc l’explosion du réacteur. L’attaque est restée invisible des systèmes de contrôle.

Le film n’en dévoile pas plus à ce moment sur la façon dont l’attaque se déroule, et notamment comment ce RAT a été introduit dans le système d’information des deux centrales. Car c’est bien là toute la difficulté de l’attaque : déployer le logiciel malveillant qui installera la porte dérobée permettant la communication entre le système d’information et l’attaquant. Il faudra attendre le début de l’enquête avec l’agent du FBI en charge et le pirate informatique Hathaway pour avoir les éléments nécessaires à la compréhension de l’attaque : le virus s’est propagé via une clé USB, branchée directement dans la salle serveurs contrôlée par le FBI. Comment la clé USB a-t-elle pu arriver là ? Comme bien souvent, avec un peu d’ingénierie sociale… ! Un homme faisant partie d’un gang a falsifié ses papiers pour travailler dans cette salle de contrôle et en a profité pour introduire le virus. Il part ensuite en prétextant la mort de sa mère…

Trending

SCIM : un standard de l’approvisionnement d’identités

Et dans la réalité, ça donne quoi ?

Dans la réalité, il faut :

1-    Préparer son attaque : cibler une personne placée au bon endroit physique et/ou hiérarchique dans la société cible.

2-     Installer le RAT  dans le système informatique, de deux façons:

o    En contaminant directement la machine en y branchant une clé USB

o    Ou en envoyant un mail de phishing avec l’exploit en pièce jointe. Le mail incite le lecteur à ouvrir la pièce jointe.

Si le système n’est pas protégé, l’exploit lance le téléchargement du logiciel malveillant qui installe la porte dérobée (« backdoor ») permettant la communication avec le centre de contrôle.

3-     Profiter 🙂

L’attaque décrite dans Hackers présente une ressemblance très forte avec une attaque bien connue, reposant sur un virus qui a fait beaucoup parler de lui : Stuxnet.

Stuxnet est un virus qui avait pour but d’endommager les systèmes de refroidissement des centrales nucléaires Iraniennes afin de ralentir leur production. Il a été développé par un partenariat entre le gouvernement américain et le gouvernement israélien pour se propager à la fois par l’intermédiaire de périphériques USB et par réseau. A l’origine, le virus s’est donc propagé depuis le PC portable personnel d’un ingénieur vers une clé USB. Puis l’ingénieur a utilisé cette même clé USB sur un ordinateur de la centrale, diffusant ainsi le virus dans le réseau informatique. Une fois en place, le virus profite de failles Windows alors encore inconnues, que l’on appelle par conséquent « failles Zéro Day ». L’utilisation de ces failles permet au virus d’installer un programme malveillant, appelé rootkit. Ce logiciel permet d’augmenter ou de ralentir la vitesse de rotation des centrifugeuses, tout en restant invisible aux systèmes de contrôle.

Stuxnet est le premier virus capable d’exploiter autant de failles Zéro Day, ainsi que de reprogrammer des systèmes de contrôle industriels et d’en cacher le comportement anormal aux opérateurs de l’usine. Il possède également 7 méthodes de propagations qu’il utilise de manière autonome, ce qui lui a permis de se propager dans plus de 115 pays. Le développement du virus a donc nécessité une connaissance approfondie de Windows, mais aussi des infrastructures industrielles. Cette phase de développement est donc très longue, mais la complexité du virus ainsi créé ralentit énormément son cycle de détection et de décontamination. En effet Stuxnet fut lancé en 2007 et ne fut découvert qu’en 2010,  il faudra attendre 2012 pour stopper la contamination.

Le scénario est-il bien réaliste… ?!

Ce type d’attaque est tout à fait vraisemblable et a même déjà eu lieu : en 2010, les ordinateurs contrôlant les centrifugeuses de l’usine d’enrichissement d’uranium iranienne de Natanz avaient été infectés par Stuxnet, et avaient été sabotés. Le virus avait même provoqué des explosions, une première mondiale dans l’histoire du piratage informatique. Mais malgré 45000 systèmes informatiques infectés en Iran, en Allemagne, en France, en Inde et en Indonésie, aucune attaque n’a pu atteindre l’envergure décrite dans le film « Hackers ».

Et…comment s’en protège-t-on ?

Il existe plusieurs bonnes pratiques qui permettent de se protéger contre ce type d’attaque (ouf !) :

Pour une diffusion par clé USB :

o    Sécuriser, à l’aide d’un filtrage, les ports de transfert de données (ex : ports USB). Seuls les ports sécurisés doivent être autorisés au fonctionnement.

o    Mettre en place une station isolée du réseau dans laquelle on pourra effectuer la vérification des périphériques USB.

Pour une diffusion par phishing :

o    Sensibiliser activement les utilisateurs aux concepts de base de la sécurité et aux risques d’ingénierie sociale

D’une manière générale

o    Avoir un antivirus à jour

o    Posséder une architecture réseau en tiers permettra également de limiter la propagation du virus et donc potentiellement son impact.

o    Mettre en œuvre des solutions de white listing en mode monitoring  sur les serveurs  afin de faire ressortir tous les comportements anormaux.

Rejoignez-nous le mois prochain pour l’épisode 2 : le piratage de la bourse de New York par le RAT!

Source image : «Hacker Rene» par Ivan David Gomez Arce | FlickR licence cc by 2.0