Le point de vue du Pentester sur la "technologie des jumeaux digitaux" (Digital Twins Technology)

Article de blog 11 décembre 2020 par Willem Westerhof, spécialiste principal de la sécurité chez Bureau Veritas Cybersecurity.
Digital Twins


Un jumeau digital est une version entièrement (ou presque) numérisée de quelque chose qui est normalement un objet physique, y compris le contexte dans lequel cet objet est utilisé.


Un cas d'utilisation typique, par exemple, est la maintenance prédictive dans les systèmes industriels. Ces systèmes sont soumis à de fortes contraintes et de graves problèmes peuvent survenir si un système s'arrête soudainement. En simulant numériquement les effets de la physique et des contraintes à long terme sur un tel dispositif, il est possible de prédire qu'après un certain nombre d'heures de fonctionnement, des pièces spécifiques doivent être remplacées.

Un autre cas d'utilisation typique serait le jumeau digital d'un bâtiment, où il est possible de déterminer les contraintes exercées sur des parties spécifiques du bâtiment, de déterminer la quantité de lumière naturelle disponible dans le bâtiment, de déterminer quels sont les emplacements les plus appropriés pour les "bureaux silencieux" ou quels départements devraient être proches les uns des autres, quel est le moyen le plus efficace de protection contre les incendies, etc. En outre, vous pouvez effectuer diverses simulations sur l'impact d'un scénario spécifique, par exemple : si un incendie se déclare du côté ouest du bâtiment, que se passera-t-il ?

Ce qui semble être passé inaperçu pour la plupart, cependant, c'est que cette technologie de jumeau digital peut également être utilisée pour améliorer la cybersécurité! En particulier dans les produits et systèmes où une violation de la cybersécurité peut entraîner des risques pour la sécurité.

Du point de vue de l'amélioration de la cybersécurité, il existe en réalité deux types de jumeaux numériques "utiles" :

  • le jumeau produit
  • Jumelage d'écosystème
Digital twin

Jumelage de produits

La création d'un produit jumeau ressemble beaucoup à la virtualisation d'un logiciel, mais va plus loin: Elle prend également en compte le contexte opérationnel de l'appareil. C'est un avantage considérable pour effectuer des security testing !

Les appareils automobiles en sont un exemple typique. S'il est possible de tester les logiciels et le matériel automobile, vous le faites généralement dans un véhicule à l'arrêt, voire sans moteur. En réalité, le véhicule roule la plupart du temps à vitesse moyenne ou élevée, et un piratage de l'appareil pendant cette période serait l'une des choses les plus désastreuses qui puissent arriver à la voiture (et à son propriétaire).

En créant un jumeau digital d'un tel produit (comme une voiture), vous pouvez simuler la conduite de l'appareil sur un itinéraire spécifique, la gestion du trafic, etc. tout en essayant de le pirater. Des bogues qui pourraient normalement passer inaperçus - comme un retard minime mais potentiellement fatal dans le traitement des données des capteurs de collision latérale - peuvent alors être découverts parce que le contexte complet dans lequel l'appareil fonctionne peut également être testé. Un autrebon exemple serait celui des avions ou des engins spatiaux, qui sont tous deux des systèmes que vous ne voulez absolument pas pirater au sens physique du terme pendant qu'ils volent quelque part, en raison des risques encourus si quelque chose tourne mal.

Oil and Gas

En outre, vous pouvez également tester des vulnérabilités spécifiques dans certaines conditions. Si vous piratez une grue industrielle par exemple, et que vous pouvez déplacer le poids du contrepoids, cela ne devrait normalement pas entraîner la chute de la grue. Mais dans certaines circonstances, comme de fortes pluies, un jour venteux ou une lourde charge attachée à la grue, cela suffira peut-être à la faire basculer et à causer de graves dommages aux personnes et aux biens.

Outre l'amélioration évidente que représente la découverte de problèmes graves et la possibilité de tester dans un état de fonctionnement normal, cette méthode élimine également de nombreux inconvénients liés au fait de tester ces produits dans leur état physique habituel. Les tests d'intrusion peuvent parfois casser des choses ou même bloquer des systèmes de manière permanente, et ces types de dispositifs ne sont pas vraiment bon marché à réinstaller ou à remettre aux réglages initiaux, alors qu'un jumeau digital peut simplement être remis dans son état d'origine.

En outre, les frais généraux liés à l'obtention d'une autorisation, à la réalisation de tous les contrôles, aux vérifications, aux passages quotidiens des contrôles de sécurité et aux déplacements sur le terrain, etc. qu'implique le test de ce type d'équipement peuvent être réduits au minimum, puisque vous pouvez obtenir un jumeau digital que vous pouvez gérer vous-même dans votre propre bureau. Ce qui, en fin de compte, permet de réaliser des tests d'intrusion à la fois moins coûteux et plus approfondis.

Jumelage d'écosystèmes

Il s'agit (et devrait s'agir) d'un terme très large. Il s'agit essentiellement d'un système de systèmes qui s'influencent mutuellement d'une certaine manière. Un écosystème jumeau peut être aussi petit ou aussi grand que l'on peut l'imaginer. Voici quelques exemples :

  • Le processus de fabrication d'un produit dans une usine.
  • Un bâtiment intelligent, avec toutes sortes d'appareils à l'intérieur.
  • Des réseaux électriques avec des réponses autonomes aux changements de l'offre et de la demande sur la base des données fournies par les capteurs.
  • Une ville ou une nation avec tous ses systèmes d'infrastructure vitaux.
  • Il s'agit en fait d'un écosystème d'écosystèmes.
Adobe Stock 288623293

Ce type de jumeau digital est le mieux adapté à l'analyse d'impact d'une vulnérabilité découverte. Il devient possible de simuler ce qui se passera si un déni de service est provoqué sur un système particulier. Qu'est-ce qui échoue au départ ? Quelles en sont les conséquences ? Y a-t-il des retombées en cascade ? Par exemple, une attaque par déni de service sur un système de climatisation serait typiquement considérée comme un problème à risque moyen. Dans le contexte où ce système de climatisation est le seul système présent dans la salle des serveurs, et où tous les serveurs commencent à surchauffer et provoquent des pannes de réseau, des temps d'arrêt, un manque d'accès, etc., cela pourrait toutefois être considéré comme un problème à risque élevé ou critique et quelque chose qui devrait être réparé, ou au moins atténué.

Un autre exemple serait de déterminer la surface d'attaque. Si quelqu'un se trouve physiquement à proximité du bâtiment, quelle technologie Wi-Fi/Bluetooth/sans fil peut être attaquée ? Ou bien, après avoir importé toutes vos règles de pare-feu, si un attaquant obtient l'exécution d'un code à distance sur un système spécifique, quels sont les dispositifs qu'il aurait pu potentiellement atteindre à partir du point d'infection initial ? Quel est l'impact de la compromission de ces systèmes et où se trouvent physiquement ces appareils dans le bâtiment ?

Bien qu'il soit parfois possible de répondre partiellement à ces questions en interrogeant divers experts au sein de votre organisation, les réponses ne sont souvent que des suppositions éclairées. En particulier dans le cas de systèmes complexes ou de grande taille, il devient extrêmement difficile de superviser réellement la surface d'attaque totale et les conséquences d'une défaillance ou d'une compromission d'un système.

Prenons l'exemple du scénario suivant :

Un système de capteurs d'eau présente un défaut de conception : les données du capteur peuvent être usurpées par un attaquant et le dispositif central est toujours fiable. Un correctif a été publié pour remédier à ce problème, mais l'appareil n'est pas automatiquement mis à jour. Un jour, un pirate s'approche d'un tel capteur et commence à falsifier les données, montrant que des pluies excessives sont en train de tomber. L'écosystème réagit automatiquement en pompant l'excès d'eau dans les champs inondables des agriculteurs, afin d'éviter les inondations ailleurs. Les champs des agriculteurs sont détruits par l'arrosage excessif et, dans d'autres régions, des problèmes de sécheresse se posent, car l'eau a été pompée.

Adobe Stock 301868131

Cet exemple montre qu'une vulnérabilité relativement insignifiante ou à faible score CVSS peut (lorsqu'elle est placée dans le contexte de l'image globale) avoir un impact majeur. Si l'analyse d'impact avait été effectuée à l'aide de la technologie des jumeaux numériques, ce problème aurait pu être facilement évité et prévenu à l'avenir en prenant des mesures d'atténuation telles que :

  • Apporter des correctifs aux capteurs actuels.
  • Passer à plusieurs types de capteurs pour éviter les défaillances à grande échelle dues aux vulnérabilités d'un seul type de capteur.
  • Créer une automatisation supplémentaire pour éviter les décisions erronées (par exemple, une sécheresse à un endroit et une inondation à un autre endroit proche devraient déclencher une sorte d'alarme, car cela ne se produit pas normalement).

Les possibilités d'accès à un tel jumelage d'écosystèmes ne se limitent pas à l'analyse d'impact des vulnérabilités connues. Il est également possible de l'utiliser comme outil d'analyse des risques et de découvrir des points de défaillance uniques, ainsi que des faiblesses de conception globales (y compris des faiblesses face aux attaques de type "zero day") dans l'écosystème. En outre, il pourrait aider à déterminer quelles sections du réseau devraient être testées par pentes ou quels "drapeaux" devraient être mis en place lors d'un engagement de l'équipe rouge.

Dans l'ensemble, la technologie des jumeaux numériques peut réellement être utilisée comme unamplificateur du niveau de sécurité d'une organisation, mais bien sûr, il y a aussi des pièges et des dangers.

Adobe Stock 152332157

Pièges et dangers courants de l'utilisation des jumeaux numériques

Tout d'abord, et cela peut sembler évident pour certains, mais vous devez à tout moment assurer la sécurité et la confidentialité de votre jumeau numérique. Un pirate qui a accès au jumeau digital de votre organisation, bâtiment ou produit peut trouver toutes les informations dont il pourrait avoir besoin pour essayer de vous pirater dans le monde réel.

Deuxièmement, le même principe s'applique à tous les systèmes basés sur des données : Garbage in = Garbage out. Soit vous le faites correctement, soit vous ne le faites pas du tout. Et veillez à ce que tout conseil ou problème de conception identifié soit vérifié sur le terrain.

Troisièmement, si vous créez des jumeaux de produits, vous commencez généralement par mettre en œuvre un grand nombre de capteurs sur un produit réel afin de comprendre tous les aspects physiques et individuels que vous devez mettre en œuvre dans votre jumeau digital. Cela signifie que vous introduisez également une grande surface d'attaque pour ce produit spécifique, donc lorsque vous mettez en œuvre ces capteurs, exigez la sécurité dans la sélection du produit.


En résumé

Dans l'ensemble, la technologie des jumeaux numériques est formidable, même pour la sécurité, si vous l'utilisez à bon escient. Dans la pratique, elle n'est pas encore largement utilisée pour la sécurité, mais nous commençons lentement à voir certains utilisateurs précoces faire des recherches (ou même créer des preuves de concept) sur les possibilités de l'utiliser exactement à cette fin.