L’installation d’épuration d’eau en Floride qu’un pirate a tenté d’empoisonner plus tôt cette semaine, était mal sécurisée. Voilà qui met directement en évidence une lacune dans la protection des infrastructures cruciales aux Etats-Unis.
Depuis Stuxnet et Industroyer, on sait qu’il est possible de pirater bien plus que l’ordinateur portable de quelqu’un: de vastes réseaux d’infrastructures, comme le réseau d’électricité et, à présent aussi, l’approvisionnement en eau potable, s’avèrent vulnérables à des attaques de l’extérieur. On peut se faire du souci quand on pense que ces installations, comme à Oldsmar en Floride, ne satisfont même pas à quelques règles de sécurité fondamentales.
TeamViewer
Mardi, on apprenait qu’un inconnu avait pris le contrôle, via TeamViewer, de l’installation d’approvisionnement en eau potable d’une petite ville de Floride. Durant ces quelques minutes, le pirate est parvenu à augmenter considérablement la quantité d’hydroxyde de natrium dans l’eau jusqu’à atteindre un niveau toxique. Le collaborateur, dont le PC avait été piraté, a finalement remis tout en ordre, dès qu’il a pu reprendre le contrôle de son ordinateur.
Il est assez rare que le sheriff local tienne une conférence de presse sur l’incident, selon l’Associated Press. Les instances en charge des infrastructures américaines ne sont en effet pas obligées de révéler les incidents de sécurité et ne disposent en outre souvent que de budgets très limités, ce qui fait que cela arrive régulièrement.
Et puis il y a la pandémi
e
A cela vient encore s’ajouter en cette période covid-19 le fait que toujours plus de ces instances s’ouvrent à internet pour que leurs collaborateurs puissent travailler chez eux. Ce sont là toutes des adaptations qui ne sont pas toujours effectuées avec les mesures de sécurité qui s’imposent.
Un rapport de l’état du Massachusetts adressé à ses installations d’eau publiques et portant sur une analyse approfondie du sujet, signale par exemple qu’à Oldsmar, TeamViewer était installé sur l’ordinateur de chaque collaborateur. Or tous ces ordinateurs étaient également connectés au système de gestion de l’hydroxyde de natrium, et tous les utilisateurs recouraient au même mot de passe. Voilà qui n’est pas – et ce n’est pas peu de l’écrire! – conforme aux règles en matière de cyber-sécurité. Toujours selon le rapport, l’installation était connectée à internet sans pare-feu (‘firewall’). Les ordinateurs tournaient aussi sur Windows 7, un système d’exploitation qui n’est plus supporté par Microsoft et qui ne reçoit plus de mises à jour sécuritaires depuis janvier.
L’instance insiste cependant sur le fait que malgré la cyber-sécurité caduque de l’installation, l’approvisionnement en eau proprement dit n’a jamais été menacé. En interne, les installations d’eau disposent en effet d’autres mesures de sécurité, comme des contrôles supplémentaires de la qualité de l’eau, avant que celle-ci ne soit injectée dans le réseau de distribution, destinées à s’assurer que le grand public ne court aucun risque.
Une enquête effectuée à propos de cet incident par le service de police fédéral américain FBI est encore en cours.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici