Les systèmes informatiques deviennent une cible privilégiée dans les conflits entre Etats. L\’attaque simultanée, mercredi, de trois banques et de trois chaînes de télévision sud-coréennes proviendrait ainsi d\’un Etat voisin. Les intrusions au long cours au sein de médias américains et de l\’Elysée, attribuées aux autorités chinoises, ont-elles mis sur le devant de la scène les risques encourus par ces organisations. Pourtant, des attaques plus directes ont déjà eu des conséquences plus graves. Les infrastructures critiques – plateformes pétrolières, centrales nucléaires… – sont ainsi de plus en plus visées.
Ces deux dernières années, des attaques au long cours sur des infrastructures sensibles sont régulièrement mises au jour. Une série de virus perfectionnés, identifiés comme l\’œuvre d\’Etats, ont d\’ailleurs jeté un nouveau regard sur les batailles diplomatiques autour de ces outils d\’espionnage ou offensifs. Stuxnet, malware attribué aux Etats-Unis et à Israël, aurait ainsi saboté et ralenti de plusieurs années le programme nucléaire iranien. Un autre virus aurait, lui, atteint des plateformes pétrolières de sociétés du Golfe, sans dégâts. Face à ces risques, les éditeurs de solutions de sécurité tentent de s\’adapter, notamment pour capter de nouveaux clients.
INCOMPATIBLE AVEC WINDOWS
A la mi-octobre, l\’éditeur russe Kaspersky a annoncé la création d\’un système d\’exploitation (OS) à la manière de Windows de Microsoft ou Mac OS d\’Apple, destiné à protéger les systèmes jugés critiques. Fin novembre, Costin Raiu, chercheur en sécurité senior chez l\’éditeur, nous en disait un peu plus sur cette future solution, \”Kaspersky Secure OS\”.
\”Les infrastructures critiques sont les cibles prioritaires de nombreux attaquants\”, explique le spécialiste. \”Notre solution s\’adresse aux systèmes sensibles, qui contrôlent ces infrastructures, mais nous ne nous limitons pas à ça. Très simplement, ce n\’est pas un système de bureau, pour de la bureautique ou pour jouer\”, poursuit-il. Ce système est ainsi incompatible avec les logiciels et virus conçus pour Windows ou Mac OS, n\’acceptant que des applications contrôlées spécifiques à cet OS (voire au client), installées en accord avec Kaspersky.
Selon l\’entreprise, Windows serait très utilisé au sein des systèmes critiques, quand bien même il soit présent sur plus de 90 % des PC dans le monde et très perméable aux virus. \”L\’idée est née il y a huit ou neuf ans, mais ce n\’était pas une priorité. Il n\’y avait pas de besoin clair pour un système sécurisé. Le projet a été déclenché par Stuxnet. Les PC sous Windows n\’ont pas été conçus pour la sécurité ou la protection des données\”, avance le chercheur.
\”DU CODE VALIDÉ\”, RIEN D\’AUTRE
\”La situation en Europe est plutôt mauvaise. Tous les jours, de nouvelles vulnérabilités sont découvertes avec plus de dégâts dans les infrastructures critiques. Le problème est le moment où l\’événement majeur qui créera la réaction arrivera. Nous voulons être prêts\”, explique Costin Raiu avec le ton alarmiste propre aux éditeurs de solutions de sécurité.
Le projet, en développement depuis 2010, utilisera des briques logicielles actuellement exploitées par Kaspersky au sein de systèmes critiques. \”Tout cela a été développé en parallèle avec notre plateforme sécurisée : nous devons supporter les images de systèmes (fichiers ISO), les systèmes sur disques ou clés (live)… En imbriquant ces composants, nous avons 80 % des éléments d\’un système. Nous avons surtout eu à créer un noyau\” chargé de communiquer avec le matériel et exécuter ces briques logicielles, ajoute l\’éditeur russe.
Le système n\’exécutera donc que des applications validées par Kaspersky, par exemple \”spécifiquement autorisées à communiquer avec la centrale\”. Pour s\’en assurer, les logiciels seraient donc soumis à \”un chiffrement fort\”, et certifiés. L\’un des impondérables en matière de logiciel est la mise à jour, pour régler des bogues, ajouter des fonctions ou, la plupart du temps, améliorer la sécurité.
La lourde certification du système imposerait donc de limiter au minimum ces modifications, qui imposent de revalider l\’application. Kaspersky parle pourtant d\’une solution flexible. \”En fait, les mises à jour sont souvent interdites [au sein de ces infrastructures critiques]. Les applications devront nécessiter aussi peu de mises à jour que possible. C\’est d\’ailleurs la politique pour les logiciels embarqués dans une station spatiale, les satellites ou Curiosity\” sur Mars, explique Costin Raiu.
L\’ÉCHEC DE LA SÉCURITÉ \”DÉJÀ PRÉVU\”
\”Nous voulons offrir le système et les applications et rendre le SDK [boîte à outils pour le développement d\’applications] gratuit, avec des limitations pour les infrastructures critiques\”, explique l\’entreprise, qui ne veut pas limiter l\’usage à ces seuls clients.
L\’annonce du nouveau système par Kaspersky, en octobre, avait d\’ailleurs fait le tour de la presse spécialisée mondiale, avec des réactions contrastées. Une chose est pourtant sûre : le système, annoncé par l\’éditeur russe pour attirer clients et partenaires, est donc d\’ores-et-déjà connu des spécialistes qui ciblent les infrastructures, avant même sa mise sur le marché.
\”Il est impossible de créer un système sûr à 100 %. Ce n\’est vraiment pas possible. Nous allons créer un système extrêmement difficile à hacker, contrairement aux ordinateurs fondés sur Windows qui le sont trop facilement. Le système va bien entendu évoluer. L\’échec de la sécurité du système est déjà dans nos plans\”, assure le responsable de Kaspersky. \”Nous avons déjà expérimenté le contournement de la sécurité de nos produits et avons réagi en conséquence. Nous supposons que ce système sera une cible prioritaire. Le principe de base est de rendre sa chute difficile\”, ajoute le représentant de Kaspersky.
PARTENARIATS ET VERSION TABLETTE
Malgré plus de deux ans de développement, le système \”en est à ses balbutiements. Nous développons des applications et cherchons des partenaires. L\’objectif principal est de trouver beaucoup de partenaires qui pourront développer les applications\”, explique l\’expert en sécurité. \”Nous n\’avons pas de date de lancement, ça dépend beaucoup des partenariats\”, précise-t-il.
Cela n\’empêche pas l\’entreprise d\’imaginer de futurs usages à son projet sécurisé. \”Peut-être que, dans l\’avenir, les ingénieurs pourront directement aller sur ces infrastructures avec un iPad et une application dédiée. Ou avec une tablette équipée du système avec un processeur ARM [utilisé par plus de 95 % des smartphones et tablettes actuels]. Nous avons d\’ailleurs prototypé une version sur tablette ARM…\”, projette déjà Costin Raiu.
Source : Le Monde
