La différence entre Modbus sécurisé et Modbus TCP

La réponse en bref

Le Modbus/TCP standard ne comporte ni authentification ni chiffrement. Tout équipement capable d'atteindre le port TCP 502 peut lire des registres, écrire des coils et émettre des commandes, et chaque octet circule en clair. Secure Modbus n'est pas une vague idée de durcissement. C'est une spécification précise et publiée, le document Modbus/TCP Security de la Modbus Organization, qui encapsule le même protocole applicatif Modbus dans TLS et ajoute une autorisation par rôle basée sur des certificats X.509, de sorte que l'identité d'un équipement, et ce qu'il est autorisé à faire, sont vérifiées au niveau de la couche transport.

Tout le reste de cet article découle de cette seule distinction : un protocole fait entièrement confiance au réseau, l'autre fait confiance à un certificat vérifié.

Comprendre les bases : Modbus TCP et Secure Modbus

Modbus est l'un des protocoles industriels les plus déployés dans les systèmes de contrôle industriel (ICS). Il a été publié en 1979 pour des liaisons série, bien avant l'apparition des menaces réseau, et cette histoire explique sa principale faiblesse : le protocole n'a jamais été conçu en tenant compte de la sécurité.

Qu'est-ce que Modbus TCP ?

Modbus TCP est la variante qui fait fonctionner le protocole applicatif Modbus sur TCP/IP, presque toujours sur le port 502. Il permet aux automates programmables (PLCs), aux interfaces homme-machine (HMIs) et aux maîtres SCADA de communiquer via un réseau Ethernet standard, ce qui explique précisément sa diffusion rapide.

• Avantages de Modbus TCP :
  • Exploite les réseaux Ethernet existants, sans câblage ni matériel spécifiques.
  • Interopère avec une immense base installée d'équipements de presque tous les fabricants.
  • Permet un polling rapide et léger, adapté aux boucles de contrôle en temps réel.

Le prix de cette simplicité est l'absence totale de sécurité. Une trame Modbus/TCP standard ne comporte aucun champ d'authentification, aucune notion de session et aucun contrôle d'intégrité au-delà de la somme de contrôle propre à TCP. Rien ne distingue une station d'ingénierie légitime d'un attaquant présent sur le même VLAN. Les recommandations ICS de la CISA l'ont signalé à plusieurs reprises : de nombreux protocoles ICS, dont Modbus, ne disposent ni d'authentification ni de chiffrement par conception, si bien qu'un code fonction qui arrête un procédé est traité de la même manière qu'un code qui lit une température. Un attaquant capable d'acheminer un paquet vers le port 502 peut lire chaque registre et écrire chaque coil.

La nécessité de Secure Modbus

À mesure que les réseaux OT s'aplatissent et se connectent à l'IT, la surface d'attaque s'élargit. L'écoute du trafic Modbus révèle la logique du procédé ; son usurpation permet à un adversaire de forcer des sorties ou de masquer les valeurs réelles aux opérateurs. C'est cette faille que Secure Modbus a été écrit pour combler.

La spécification Modbus/TCP Security conserve à l'identique le modèle de données et les codes fonction de Modbus, mais déplace la conversation sur un canal protégé, en ajoutant :

• Chiffrement (TLS) : l'intégralité de la PDU Modbus circule dans un tunnel TLS 1.2 ou supérieur, de sorte que les valeurs de registres et les commandes ne sont plus lisibles sur le réseau.
• Authentification (X.509) : les deux extrémités présentent des certificats. Un client ne peut ouvrir une session sans un certificat reconnu par le serveur, ce qui met fin à l'accès anonyme sur le port 802 (port enregistré de Secure Modbus).
• Autorisation par rôle : la spécification définit une extension Role portée par le certificat X.509. Le certificat ne prouve pas seulement l'identité d'un équipement, il déclare ce qu'il est autorisé à faire, de sorte qu'une station de supervision en lecture seule peut se voir interdire cryptographiquement l'émission de commandes d'écriture.

Ces propriétés correspondent directement aux contrôles attendus par les référentiels. La NIST SP 800-82, le Guide to Operational Technology Security, exige de protéger la confidentialité et l'intégrité des communications OT et d'authentifier les équipements avant d'accorder l'accès. Pour les fournisseurs de la défense, ces mêmes contrôles satisfont les exigences de protection des transmissions de la NIST 800-171 (SC-8) qui alimentent le référentiel CMMC.

Quel protocole pour quel usage

Secure Modbus est la bonne cible, mais ce n'est pas un interrupteur que l'on bascule partout du jour au lendemain.

Le Modbus/TCP standard reste pertinent lorsque la liaison se trouve entièrement dans une cellule étroitement segmentée et surveillée, sans chemin vers des réseaux moins fiables ; lorsque les équipements sont des systèmes legacy physiquement incapables de prendre en charge TLS ; ou lorsque vous êtes en pleine migration et que des contrôles compensatoires (segmentation, passerelle de sécurité, enregistrement complet des sessions) portent le risque entre-temps.

Secure Modbus s'impose sur toute liaison qui franchit une frontière de confiance, toute connexion accessible depuis l'IT ou des accès distants, toute paire d'équipements compatible, et partout où un régime de conformité exige un transport authentifié et confidentiel.

La réalité est rude du côté de l'adoption : la plupart des PLCs et HMIs installés n'implémentent pas encore la spécification Security, si bien qu'un déploiement Secure Modbus de bout en bout est rare aujourd'hui. C'est pourquoi la plupart des équipes recourent à une passerelle ou une couche d'accès qui termine TLS et applique l'identité pour le compte des équipements qui ne peuvent le faire eux-mêmes.

Comment migrer

1. Inventoriez chaque liaison Modbus. Cartographiez quels maîtres parlent à quels esclaves, sur quels ports, à travers quelles frontières réseau. On ne protège pas des connexions que l'on n'a pas recensées.
2. Classez par exposition, pas par commodité. Priorisez les liaisons qui passent de l'IT à l'OT, qui sont accessibles par accès distant, ou qui transportent des données liées à la sûreté ou proches des CUI.
3. Vérifiez la capacité des équipements. Pour chaque liaison à haut risque, confirmez si les deux extrémités prennent en charge la spécification Modbus/TCP Security. Lorsque c'est le cas, activez directement TLS basé sur certificats.
4. Placez une passerelle de sécurité devant les équipements legacy. Pour la majorité qui ne parle pas Secure Modbus, déployez un point d'application qui termine TLS, authentifie le client, applique l'autorisation par rôle et ne transmet le Modbus en clair que du côté de confiance.
5. Refus par défaut sur le port 502. Traitez un port 502 ouvert comme l'exception, pas comme la règle. Accordez l'accès par identité vérifiée, limitez chaque droit aux codes fonction réellement nécessaires à un rôle, et journalisez chaque session.
6. Testez selon les tolérances du procédé. Mesurez la latence ajoutée par les handshakes TLS et le chiffrement, et confirmez qu'elle reste dans le budget temporel de votre boucle de contrôle avant la bascule.
7. Documentez selon votre référentiel. Consignez chaque changement en référence à la NIST SP 800-82 et, pour les activités de défense, à la NIST 800-171 SC-8 et à votre évaluation CMMC.

Considérations pratiques pour l'OT security

Équilibrer sécurité et performance

TLS ajoute un handshake et un travail cryptographique par message. Sur du matériel récent, cela reste négligeable, mais sur des PLCs contraints ou des boucles de contrôle très serrées, cela peut compter. Mesurez la latence réelle sur un trafic représentatif plutôt que de la supposer, et placez les passerelles au plus près des équipements qu'elles protègent pour réduire les allers-retours.

Cycle de vie des certificats

L'authentification ne vaut que ce que valent les certificats qui la sous-tendent. Secure Modbus dépend d'une infrastructure à clés publiques fonctionnelle : émission des certificats, renouvellement avant expiration, révocation lorsqu'un équipement est mis hors service ou compromis. Un certificat expiré sur un automate peut arrêter la production aussi sûrement qu'une attaque : la gestion des certificats doit donc être opérationnelle, et non une réflexion après coup.

Intégration aux systèmes existants

La plupart des parcs OT sont mixtes : quelques équipements compatibles, beaucoup de systèmes legacy. Un déploiement réaliste fait fonctionner Secure Modbus en natif là où les équipements le permettent et recourt à une passerelle consciente de l'identité partout ailleurs, ce qui relève le niveau de sécurité sans remplacer du matériel qui a encore des années de service devant lui.

Conclusion : renforcer la sécurité des protocoles industriels

La différence entre Modbus/TCP et Secure Modbus n'est pas une question de degré. Un protocole n'authentifie rien et ne chiffre rien ; l'autre, défini par la spécification Modbus/TCP Security, lie chaque session à une identité X.509, applique un rôle et chiffre l'intégralité de l'échange avec TLS. Inventoriez vos liaisons, classez-les par exposition, activez Secure Modbus en natif là où les équipements le permettent, et placez devant les autres un point d'application qui apporte le refus par défaut, l'accès limité par identité et le TLS à un protocole qui n'en possède aucun. Documentez le résultat en référence à la NIST SP 800-82 et à la NIST 800-171 SC-8, et vous comblez les trois lacunes fondatrices du protocole : pas d'authentification, pas de chiffrement, pas d'intégrité.