BFM Tech

Des hackers pointent le manque de sécurité du secteur pétrolier

-

- - -

La complexité des infrastructures et leur interconnexion sont du pain béni pour les pirates car elles démultiplient les chances de trouver une faille de sécurité. Démonstration.

Faire exploser une raffinerie, siphonner un pipeline, saboter un projet de forage… autant de scénarios catastrophe qui pourraient devenir réalité en quelques clics, si l’on en croit l’analyse d’Alexander Polyakov et de Mathieu Geli, deux chercheurs en sécurité chez ERPScan, une société spécialisée dans le sécurité des progiciels de gestion.

A l’occasion de la conférence Black Hat Europe 2015 à Amsterdam, ces deux hackers ont montré dans leur présentation qu’il était possible de prendre le contrôle des infrastructures industrielles d’une installation pétrolière en piratant le système de gestion d’entreprise auxquelles il est raccordé. Dans la grande majorité des cas (75%), celui-ci est fourni par SAP et permet aux différents acteurs de récupérer des informations sur la production pour, entre autres, réaliser des analyses de coûts.

Le problème: ces progiciels de gestion, placés au carrefour de multiples systèmes, sont très complexes à configurer et sont connectés plus ou moins directement à Internet. Ils regorgent par ailleurs de failles de sécurité. "Chaque mois, SAP corrige entre vingt et trente failles de sécurité dans ses produits, ce qui est beaucoup", expliquent les chercheurs.

A titre d'exemple, ils ont élaboré une preuve de concept pour fausser la transmission des niveaux de stock d'un réservoir de pétrole vers le système de gestion. Ce qui permettrait, par exemple, de maquiller un vol de ressources ou de perturber les prises de décisions et, par contrecoup, les prix du marché. Dans une démonstration, ils ont montré un réservoir qui se vidait de son contenu alors que le niveau affiché ne bougeait pas.

Dispositif de démonstration d'attaque
Dispositif de démonstration d'attaque © DR

Toutes ces attaques sont assez compliquées à imaginer, car il faut bien connaître les processus métier et les systèmes industriels. Mais c'est loin d'être hors de portée. "Deux mois peuvent suffire pour former quelqu'un. Beaucoup d'informations se trouvent par ailleurs sur Internet", souligne Mathieu Geli. Face au risque encouru, les chercheurs recommandent d'être plus vigilants et d'analyser toutes les connexions entre les systèmes.

Gilbert Kallenborn, envoyé spécial à Amsterdam