Les pirates informatiques peuvent exploiter un nouveau créneau de vulnérabilités de sécurité généralisées inauguré par la montée de l'Internet des objets (IoT) pour cibler et prendre le contrôle des infrastructures publiques et privées critiques aux États-Unis, selon un nouveau rapport de CyberNews.
La raison pour laquelle l'infrastructure américaine est si vulnérable est que bon nombre de ces systèmes sont gérés par des systèmes de contrôle industriel (ICS) hérités qui ont été conçus sans la cybersécurité à l'esprit. CyberNews«La recherche a révélé que de nombreux panneaux ICS pour les infrastructures publiques et privées aux États-Unis ne sont toujours pas protégés et facilement accessibles aux pirates informatiques malgré des investissements croissants dans la sécurité des infrastructures.
Ces systèmes de contrôle sont non seulement exposés en ligne, mais ils peuvent également être facilement saisis et manipulés par n'importe qui sur Internet. Si une campagne coordonnée de cyberguerre devait avoir lieu, ces panneaux de contrôle pourraient être utilisés par des attaquants pour causer de graves dommages aux biens privés et publics, à l'environnement et même à la santé et à la sécurité publiques de la population américaine.
Alors que les experts en cybersécurité ont travaillé pendant des décennies pour sensibiliser aux dangers potentiels des panneaux ICS non sécurisés, leurs efforts n'ont pas encore réussi à changer la façon dont ces systèmes sont protégés contre les attaques. CTO et RSSI chez BeyondTrust, Morey Haber a expliqué à CyberNews que les composants du commerce pourraient être en partie à blâmer, en disant:
«Le problème n'est pas un manque de compréhension de la situation, mais plutôt le temps, le coût, le processus et les remplacements appropriés pour les technologies existantes. Avec de nombreux systèmes de contrôle basés sur la technologie commerciale standard (COTS), les scénarios de fin de vie et le manque de solutions de support étendu abordables rendent les environnements paralysés équilibrant les budgets entre le remplacement des systèmes ou le paiement d'une maintenance prolongée à prix élevé.
Sommaire
Systèmes de contrôle industriel non protégés
Dans le cadre d'un projet de cartographie Internet, CyberNews a scanné les blocs IP pour les ports ouverts dans la plage d'adresses IP américaine pour découvrir un certain nombre de systèmes de contrôle industriels non protégés et accessibles aux États-Unis. Les pirates pourraient utiliser ces mêmes tactiques pour trouver et prendre le contrôle à distance d'infrastructures privées américaines critiques.
Alors que les institutions et les experts en cybersécurité sont tous conscients des dangers rencontrés dans ces systèmes ICS obsolètes, de nombreux points d'accès ICS aux États-Unis dans les secteurs de l'eau et de l'énergie sont toujours vulnérables aux attaques. Par exemple, CyberNews ' La recherche a révélé des puits de pétrole à terre, des puits de pétrole côtiers, des systèmes publics de distribution d'eau, des installations publiques de traitement des eaux et une station de pompage publique qui ont tous été laissés en ligne et accessibles sans mot de passe.
Le rapport du média a révélé que pratiquement toute personne ayant un ensemble de compétences spécifiques et un intérêt particulier pouvait nuire aux infrastructures critiques américaines. Certains exemples présentés dans son rapport incluent la désactivation des alarmes sur les puits de pétrole, l'infection de l'approvisionnement en eau en arrêtant la production de désinfectant ou en provoquant des pannes d'eau dans toute la ville ou la ferme. Tous ces scénarios d'attaque potentiels pourraient affecter physiquement des milliers de personnes aux États-Unis et avoir un impact dévastateur sur les entreprises qui exploitent ces systèmes.
Heureusement, CyberNews a contacté CISA, CERT et les propriétaires publics et privés des systèmes non sécurisés qu'il a trouvés et leur accès ouvert a maintenant été désactivé. Bien que nous puissions éviter une catastrophe pour le moment, le fait qu'il existe tant de systèmes ICS non sécurisés aux États-Unis reste une source de préoccupation et, espérons-le, le rapport du média contribuera à sensibiliser davantage à ce problème.
