Les experts en sécurité informatique de la Johns Hopkins University se sont récemment rendus à Hawaï pour voir à quel point leur logiciel résistant aux hackers opérerait au sein d’une centrale électrique fonctionnant actuellement mais hors ligne à Honolulu. Les tests de résilience réussis, financés par le Département américain de la Défense, ont été déclenchés en partie par les inquiétudes croissantes concernant la vulnérabilité des réseaux électriques suite à deux cyberattaques de grande ampleur qui ont éteint l’Ukraine ces deux dernières années.
Ces images représentent le logiciel open source Spire de l’équipe de cybersécurité de Johns Hopkins, conçu pour résister aux attaques de piratage visant à perturber le système de contrôle d’une centrale électrique. Crédit: Université Johns Hopkins
Aucune des pannes à Kiev n’a été suffisamment longue ou étendue pour causer des dommages sérieux ou de la panique. Pourtant, les attaques ont servi d’avertissement, mettant en lumière la sécurité du réseau électrique aux États-Unis et ailleurs.
« Aujourd’hui, notre système électrique n’est pas conçu pour résister au genre d’attaques qui ont eu lieu en Ukraine », a déclaré Yair Amir, professeur et président du Département d’informatique de l’École d’ingénierie Whiting de l’université. « Même si une partie du système de contrôle d’un réseau électrique est compromise, le jeu est terminé, nous devons rendre notre réseau plus sûr, résilient et tolérant aux intrusions. »
Yair Amir et son équipe de chercheurs espèrent contribuer à renforcer la résilience avec leur nouveau système de contrôle open-source pour les réseaux électriques baptisé Spire. Le système à tolérance d’intrusion est conçu pour maintenir le flux d’énergie même si une partie du système est compromise.
Lors d’une expérience en avril dernier, une équipe de hackers de Sandia National Laboratories a pu effacer à distance un système de contrôle de réseau commercial en quelques heures, mais l’équipe n’a pas pu pénétrer dans le système Spire pendant trois jours. Le troisième jour, l’équipe d’attaque de Sandia a eu accès à distance à une partie de Spire, mais ses pirates de test ne pouvaient toujours pas perturber le bon fonctionnement du système.
Plus récemment, les développeurs Spire de la Johns Hopkins ont été invités à Hawaii. Fin janvier, Yair Amir et son équipe se sont rendus dans une centrale hors ligne de la Hawaiian Electric Company à Honolulu et ont passé deux semaines à tester le système Spire sur l’équipement de la centrale avec l’aide des ingénieurs HECO, Keith Webster et John Tica. Après quelques jours de configuration et d’intégration, Spire a fonctionné sans interruption pendant presque une semaine complète.
Le but du déploiement à Hawaï était de vérifier que Spire pouvait fonctionner sans dégrader les performances du système de contrôle et sans effets négatifs sur les autres systèmes de centrales électriques.
Un réseau électrique doit réagir à des événements défavorables – disons, un disjoncteur ou un générateur qui se ferme – en quelques centaines de millisecondes, a déclaré Yair Amir. « Si un générateur s’éteint, le système doit le détecter rapidement et compenser en augmentant la puissance dans d’autres générateurs ou en coupant l’alimentation de certaines parties du réseau. »
Le dernier jour du test d’Hawaii, Keith Webster a déployé un dispositif pour mesurer le temps de réaction de bout en bout du système de contrôle commercial dans l’usine et de Spire. Les mesures ont montré que le système commercial reflétait un changement de l’état de puissance du réseau dans les 900 millisecondes à une seconde. Spire a montré le même changement en 400 à 500 millisecondes, répondant à l’exigence de rapidité.
Une partie du fonctionnement du système est à l’aide de répliques. Les chercheurs l’ont construit pour contenir six copies du serveur de contrôle principal qui travaillent ensemble pour convenir des mises à jour dans le système. C’est le plus petit nombre de répliques nécessaires pour obtenir une bonne protection, assure Yair Amir. « Chaque réplique vote sur chaque donnée et décision », at-il ajouté. « Si l’une des répliques est compromise et qu’une autre est en cours de maintenance, alors les autres bonnes répliques permettront au système de continuer à fonctionner correctement et en temps opportun. »
Pourquoi le test a-t-il été effectué à Hawaï ? Premièrement, le projet de recherche a été financé par le ministère de la Défense, l’un des plus gros clients de HECO. De plus, a indiqué Yair Amir, l’accès unique à une centrale électrique « mise en sommeil » avec des systèmes de contrôle entièrement fonctionnels mais sans production d’énergie active était parfait pour les tests du système de contrôle au niveau du réseau. « Si quelque chose ne va pas, » dit-il, « au moins, vous ne perdez pas un quart de million de personnes. »
Yair Amir et ses collègues prévoient de publier Spire 1.1, la version déployée dans ce test-déploiement, dans les semaines à venir. La version 1.0, testée en avril, est déjà disponible en téléchargement.
Rendre Spire open-source coulait de source, a déclaré Amir. Il a passé plus d’une décennie de sa carrière de chercheur à travailler sur des systèmes et des réseaux tolérants aux intrusions. Il a déclaré que la publication du code source augmente ouvertement la sensibilisation et la possibilité d’un impact réel. Le réseau électrique américain est une cible logique pour les grandes cyberattaques, a-t-il déclaré. Désactiver ou altérer le réseau à grande échelle, a déclaré Yair Amir, pourrait sérieusement nuire au pays en perturbant des vies et causant une immense perte économique.
