HAL Id: hal-01237722 https://hal.archives-ouvertes.fr/hal-01237722 Submitted on

HAL Id: hal-01237722 https://hal.archives-ouvertes.fr/hal-01237722 Submitted on 3 Dec 2015 HAL is a multi-disciplinary open access archive for the deposit and dissemination of sci- entific research documents, whether they are pub- lished or not. The documents may come from teaching and research institutions in France or abroad, or from public or private research centers. L’archive ouverte pluridisciplinaire HAL, est destinée au dépôt et à la diffusion de documents scientifiques de niveau recherche, publiés ou non, émanant des établissements d’enseignement et de recherche français ou étrangers, des laboratoires publics ou privés. Architecture des systèmes d’automatisation des postes résiliente aux attaques des trames GOOSE Maëlle Kabir-Querrec, Stéphane Mocanu, Pascal Bellemain, Jean-Marc Thiriet, Eric Savary To cite this version: Maëlle Kabir-Querrec, Stéphane Mocanu, Pascal Bellemain, Jean-Marc Thiriet, Eric Savary. Archi- tecture des systèmes d’automatisation des postes résiliente aux attaques des trames GOOSE. Journées C&ESAR 2015. Intelligence Artificielle et Cybersécurité, Nov 2015, Rennes, France. ￿hal-01237722￿ 1 Architecture des systèmes d’automatisation des postes résiliente aux attaques des trames GOOSE M. Kabir-Querrec1,2, S. Mocanu1, P. Bellemain1, J.-M. Thiriet1, E. Savary2 1) Univ. Grenoble Alpes, GIPSA-lab, F-38000 Grenoble, France CNRS, GIPSA-lab, F-38000 Grenoble, France 2) Euro-System, F-38760 Varces, France Résumé : Notre travail concerne la spécification et la mise en œuvre d'un système d'automatisation des postes électriques conformes à la norme IEC 61850 capable de fonctionner en présence d’attaques sur les systèmes de communication temps-réel (communication GOOSE). Notre architecture repose sur trois concepts : la réalisation des sondes capables de détecter les attaques sur les trames GOOSE, la remontée des alertes au SCADA et la réalisation d'une commande des équipements de terrain intégrant l'information de cybersécurité. Mots clés : IEC 61850 ; Attaques GOOSE ; Protection électrique ; Architecture résiliente ; SCADA ; SAS. I. Introduction 1. L'automatisme des postes IEC 61850 Les réseaux de distribution électrique modernes (smart-grids) intègrent des technologies intelligentes dont l'objectif est de régler en temps-réel la production de l'électricité ainsi que sa distribution afin d'optimiser le comportement global du système (satisfaction de la demande versus minimisation des pertes). Cette fonctionnalité de contrôle en continu du comportement du réseau est réalisée via l'automatisme du réseau de distribution qui implémente les fonctions classiques d'acquisition de données, supervision et commande (Supervisory Control and Data Acquisition – SCADA). Etant données la taille et la complexité du réseau électrique un contrôle centralisé n'est pas envisageable. L'intelligence du réseau repose sur des fonctions de contrôle distribuées. La brique de base de ce système de contrôle distribué est le système d'automatisation de poste (Substation Automation System – SAS). Le standard IEC 61850 définit le poste comme étant "un ensemble d'équipements électriques interconnectés avec des fonctionnalités communes". Le système d'automatisation de poste est constitué de l'ensemble des équipements informatiques réalisant des fonctions de mesure, contrôle, protection électrique. Ces équipements sont appelés Equipements Electroniques Intelligents (Intelligent Electronic Device – IED). La réalisation de certaines fonctions complexes dans les SAS, notamment des fonctions de protection électrique, nécessitent l'utilisation des informations fournies par des IED distincts (par exemple des mesures de courant en plusieurs points de réseau). Il s'ensuit que la réalisation des SAS nécessite un système de communication adéquat. 2. SAS et sûreté de fonctionnement La définition d’un tel système de communication est l’un des objectifs de la norme IEC 61850. Les deux grands atouts de ce standard (première édition 2003) sont l’interopérabilité des systèmes de contrôle, qui met fin à la dépendance d’une infrastructure envers un unique fournisseur, et le passage de l’information par le réseau Ethernet qui permet d’éliminer quantité de câbles jusqu’alors nécessaires au transfert de l’information point à point. Afin de pouvoir déployer les technologies 61850 à l’ensemble du réseau électrique, il s’est révélé nécessaire d’apporter plus de fiabilité dans ce système d’automatisme basé sur les communications. C’est chose faite dans la seconde édition (2013) qui supporte l’Ethernet gigabit et qui est enrichie de méthodes de 2 redondance au niveau couche liaison : boucles PRP (Parallel Redundancy Protocol) et HSR (High-availability Seamless Redundancy). Ces mesures vont dans le sens de la fiabilité, de la disponibilité et plus globalement de la sûreté de fonctionnement. Ainsi, il est désormais concevable d’utiliser les technologies IEC 61850 dans des systèmes critiques tels qu’une centrale de production thermique ou nucléaire dans laquelle une perte ou une altération des communications impacterait la continuité de service mais pourrait aussi avoir des conséquences plus dramatiques. Notre travail s’inscrit dans la continuité de ces mesures visant à assurer la sûreté de fonctionnement des systèmes IEC 61850 : il concerne l'étude d’une architecture résiliente à des attaques sur les communications en temps-réel dur, basée sur la détection d’intrusion. La détection d’intrusion est l’une des deux seules mesures de sécurité énoncées comme faisables pour le protocole GOOSE dans le standard IEC 62351 [IEC 2009], l’autre étant l’authentification par signature numérique, hors du scope de ce travail. Ce standard porte sur la sécurité des données et des communications dans les infrastructures électriques dont la sûreté de fonctionnement, la sécurité et la fiabilité reposent de plus en plus sur l’intégrité du système d’information et de communication. 3. Communication dans les postes : flux horizontaux et verticaux La norme IEC 61850 spécifie plusieurs méthodes de communication selon les besoins temps-réel des différentes fonctions ainsi que les protocoles associés. Dans le contexte de cette étude deux méthodes seront utilisées : les communications locales, en temps-réel dur (4ms de délai de propagation application) et la communication avec le SCADA. La figure 1 présente la disposition typique des flux de communication dans le SAS. La réalisation des fonctions nécessite une communication en temps-réel entre les IED. Cette communication est implémentée via des transmissions multicast de trames Ethernet (type 0x88b8 dites GOOSE – Generic Object Oriented System Event). La communication avec le SCADA est réalisée par TCP/IP avec un protocole application MMS (Manufacturing Message Specification - ISO 9506). Notons que, souvent, les flux "verticaux" et "horizontaux" circulent sur des réseaux physiquement différents (réseaux supervision et temps-réel séparés). Figure 1. Flux de données 61850 : commuté "horizontal" (GOOSE) vs. "vertical" SCADA 3 II. Fonctionnement du protocole GOOSE 1. Structure d’une trame GOOSE Le protocole GOOSE est mappé sur la couche liaison Ethernet. Les messages sont envoyés en broadcast selon un mécanisme d’éditeur – abonné (publisher – subscriber) : les appareils branchés sur le réseau voient l’ensemble des trames GOOSE mais n’interceptent que celles qui les intéressent, les messages GOOSE auxquels ils sont abonnés. La structure de la trame GOOSE est standardisée (ISO/IEC 8802-3), elle est rappelée dans le standard IEC 61850 et a fait l’objet de plusieurs publications dont [Kriger 2013]. Elle est détaillée dans la figure 2. L’APDU (Application Protocol Data Unit) correspond aux données transmises par l’application émettrice. Il est spécifié en ASN.1 comme une séquence de 12 éléments (à droite sur la figure 2). Figure 2. Structure d’une trame GOOSE (d’après IEC 61850-8.1) Notons que le champ "Security" est prévu dans l’APDU de la trame GOOSE présenté dans la norme IEC 61850 mais son utilisation n’est pas explicitée. Les mécanismes de sécurité sont en fait recommandés dans le standard mais leur mise en œuvre est laissée à la discrétion des concepteurs d’IED. Les champs dont le nom est souligné seront exploités dans ce travail pour vérifier la conformité du message avec la configuration du SAS. 4 2. Mécanisme de transmission du protocole GOOSE Le mécanisme de transmission éditeur – abonné ne permet pas d’acquitter la réception du message. Pour assurer un certain niveau de fiabilité, le protocole GOOSE utilise un schéma particulier de retransmission comme illustré dans la figure 3. Lorsqu’un événement se produit, impliquant un changement de valeur de l’une ou plusieurs des données transmises par GOOSE, il déclenche l’envoi d’un message GOOSE en incrémentant StNum et en remettant à 0 SqNum. Cette trame GOOSE est retransmise à grande fréquence d’abord (T1) puis le rythme ralentit (T2, T3) jusqu’à atteindre la durée correspondant à des conditions stables. SqNum est incrémenté à chaque émission. Figure 3. Schéma de transmission des messages GOOSE III. Détection d’intrusion sur le réseau GOOSE 1. Description des attaques Nous considérons deux types d'attaques sur les trames Ethernet, attaques déjà répertoriées dans la littérature. Le premier type d'incident considéré est la tempête Ethernet. Ce type d'incident a été, par exemple, à l'origine d'un arrêt d'urgence d'une centrale nucléaire aux Etats-Unis [NRC 2007]. Dans le cas d’un poste IEC 61850, la conséquence d’une tempête Ethernet sur le réseau dédié aux communications GOOSE serait un incident de type DoS (Denial of Service). Les trames GOOSE ne pourraient alors pas être réceptionnées par leurs abonnés dans le temps imparti de 4ms mettant en péril le bon déroulement des mécanismes de protection. Malgré la procédure de retransmission détaillée ci-dessus, il est probable qu’un IED ne reçoive pas plusieurs occurrences d’un message GOOSE d’affilée. Or chez certains fabricants, l’hypothèse est faite qu’au maximum une occurrence d’un message GOOSE est perdue et les IED sont paramétrés pour ignorer les trames dont les numéros de séquence et d’état ne respecteraient pas cette hypothèse [Siemens 2014]. La connexion entre l’émetteur et l’abonné est alors rapidement considérée comme perdue. Le uploads/Management/ c-amp-esar2015-version-finale-mkq-sm-pb-jmt-es.pdf

Documents similaires

ISSN: 2320-5407 Int. J. Adv. Res. 10(08), 605-624 605 Journal Homepage: -www.jo 0 0

BISSAY SOMBSI ABRAHAM Tél 699 88 47 59 / 677 14 39 20 Camerounais Célibataire E 0 0

Nom : Date : LES VIS À BOIS CAP menuisier installateur Communication technique 0 0

Université Technique de Moldova CONTRIBUȚII LA DIGITALIZAREA AFACERILOR ÎN EPOC 0 0

See discussions, stats, and author profiles for this publication at: https://ww 0 0

Introduction 2 La mise en place d’un système de gestion de la santé, sécurité a 0 0

LA MINUTERIE La minuterie est un dispositif permettant de commander l'allumage 0 0

Chapitre 6 : La communication interne définition Cible typologie Différentes Co 0 0

Table des matières FORMATION PcVue Journées de formation au logiciel de supervi 0 0

Quelles compétences doit évaluer un test terminal BOLTON, S. (1987) : Evaluatio 0 0

• Détails
• Publié le Nov 11, 2022
• Catégorie Management
• Langue French
• Taille du fichier 2.1752MB