Cyberattaques : l'eau dans le collimateur des pirates informatiques

·5 min de lecture

Une attaque informatique visant à empoisonner l’eau distribuée à la population d’une ville de Floride a été déjouée in extremis, ont annoncé lundi les autorités américaines. Un incident qui souligne la vulnérabilité de certaines infrastructures critiques face à la menace posée par les pirates informatiques. Surtout en cette période de crise sanitaire.

Ouvrir le robinet d'eau aurait pu nuire gravement à la santé des habitants d'Oldsmar, une petite ville de Floride, dans le sud-est des États-Unis. Des pirates informatiques ont tenté d'empoisonner le circuit d'eau potable de la commune, a indiqué le shérif du comté, lundi 8 janvier.

C'est un opérateur de l'usine de traitement des eaux qui a pu éviter in extremis le scénario catastrophe pour les 15 000 résidents d'Oldsmar. Il s'est rendu compte, vendredi, que quelqu'un manipulait à distance le panneau de contrôle des installations.

Question de “sécurité nationale”

Il aura suffi de seulement cinq minutes au cybercriminel pour s'introduire dans le réseau informatique et augmenter considérablement la quantité d'hydroxyde de sodium - soude caustique - déversée dans les eaux. À faible dose, cette substance chimique permet d'éviter la corrosion des conduits qui transportent l'eau, mais en grande quantité, c'est un poison pour l'organisme qui peut brûler la peau et causer, notamment, de graves dégâts aux yeux, rappelle le site Wired.

Marco Rubio, le sénateur républicain de Floride, a jugé que cet incident était une question de “sécurité nationale”. Il a confirmé que le FBI avait été appelé en renfort des autorités locales pour mener l'enquête sur cette cyberattaque.

“Cette tentative illustre le cauchemar de toute la communauté de la cybersécurité car elle démontre l'impact potentiel pour la santé des individus d'une telle attaque”, résume Adam Palmer, responsable de la stratégie de cybersécurité pour la société américaine de sécurité informatique Tenable, contacté par France 24.

Ce n'est d'ailleurs pas la première fois que des usines de traitement des eaux sont prises pour cible par des pirates informatiques. En 2016, un autre site aux États-Unis - dont la localisation n'avait pas été rendue publique - avait été attaqué par des cybercriminels qui ont essayé, sans succès, de modifier la composition chimique de l'eau. Des tentatives d'intrusion dans le système israélien d'approvisionnement en eau ont également été déjouées en avril 2020.

Défenses dépassées

Il n'est pas étonnant que les systèmes d'approvisionnement en eau attirent les cybercriminels. Parmi les infrastructures critiques - comme les centrales électriques, les réseaux télécom -, elles peuvent apparaître comme un maillon faible. “Il y a souvent un maillage important du territoire avec un grand nombre d'installations, jusqu'au petits châteaux d'eau en campagne, qu'il faut pouvoir sécuriser. Cela représente un travail dantesque”, explique Gérôme Billois, spécialiste de la cybersécurité pour le cabinet de conseil Wavestone, contacté par France 24.

Une partie de ces sites dépend encore de systèmes de sécurité informatique “mis en place il y a des décennies, à une époque où la menace cyber n'était pas encore aussi évoluée”, précise Gérôme Billois.

Les bribes d'information fournies par les autorités d'Oldsmar suggèrent d'ailleurs que l'usine locale entre dans cette catégorie d'installations aux défenses peut-être insuffisantes. Interrogé par un journaliste du Tampa Bay Times, qui voulait savoir si cette attaque était un exemple de cyberterrorisme, le shérif - sans exclure cette possibilité - a précisé qu'il pouvait aussi s'agir d'un individu qui, depuis son garage, avait découvert une vulnérabilité dans le système informatique par hasard. Plus précisément, la faille pourrait se situer au niveau du logiciel qui permet aux employés d'accéder depuis chez eux aux panneaux de contrôle du site en cas d'urgence.

Plusieurs journalistes et experts en sécurité informatique se sont étonnés, sur Twitter, de l'existence même d'un tel dispositif de contrôle à distance pour une installation aussi sensible. Mais pour Gérôme Billois, il n'y a rien d'étonnant à l'utilisation d'un tel programme “pour pouvoir intervenir en cas de crise”. En revanche, il est beaucoup plus surprenant que ce logiciel permette “d'augmenter la quantité de soude caustique dans l'eau jusqu'à des niveaux dangereux pour la santé”, ajoute-t-il.

Risque posé par le travail à domicile

Pour Adam Palmer, le spécialiste de Tenable, la danger d'attaques contre des installations critiques s'est accrue ces dernières années avec la multiplication des objets connectés. Et pas seulement pour les usines de traitement des eaux. Les smartphones professionnels connectés en permanence aux réseaux d'entreprise, les systèmes d'aération “intelligents” ou les caméras de surveillance de plus en plus nombreuses sont autant “de points d'entrée potentiels pour des agents malveillants”, rappelle-t-il. “On aurait tort de croire que les systèmes de contrôle de ces installations et les réseaux informatiques de l'entreprise sont toujours parfaitement séparés. Même au sein de certaines infrastructures sensibles”, prévient-il.

La pandémie de Covid-19 est venue ajouter un risque supplémentaire. “Avec la banalisation du travail à distance, les entreprises se sont empressées de trouver des moyens pour que les salariés puissent continuer à travailler depuis chez eux, en ne mesurant pas parfois les implications en termes de sécurité informatique”, regrette Adam Palmer. Les pirates informatiques qui avaient attaqué, en avril 2020, les installations israéliennes de distribution d'eau avaient d'ailleurs profité des mesures de confinement pour “s'infiltrer plus facilement dans les systèmes informatiques”, rappelle le New York Times.

Dans ce contexte, il serait urgent de renforcer les protections “non numériques de ces installations”, juge Gérôme Billois. Un employé vigilant qui détecte à temps des mouvements suspects sur l'écran du panneau de contrôle, comme cela a été le cas à Oldsmar, est un premier pare-feu humain. Mais il ne peut pas avoir le regard fixé en permanence sur les écrans de contrôle.