Piratage en eaux troubles

Dans son dernier rapport la société américaine Verizon cite le cas de cette infiltration dont a été victime une entreprise de traitement des eaux (dont le nom et le pays sont restés confidentiels).

C’est en intervenant à la demande de cette entreprise pour renforcer la sécurité de son réseau informatique, que Verizon a découvert cette situation délétère. Lorsque les experts en cybersécurité ont commencé leur audit, ils ont constaté que l’action malveillante avait été mise en place depuis deux mois ! Des mouvements suspects de valves et de tuyauteries avaient bien été remarqués. Mais les responsables de l’entreprise n’avaient pas décidé de mettre en place une surveillance plus précise afin d’en connaître les causes et les effets sur la distribution d’eau.

Cette situation n’est finalement pas surprenante et elle s’explique par deux raisons : des infrastructures et des automates obsolètes et, deuxièmement, des personnels pas compétents (car pas formés à ce genre de problématique) en sécurité informatique. Deux constats très répandus dans les sites industriels.

Mais l’exemple cité par Verizon représente un cas d’école. En effet, la plate-forme SCADA (Supervisory Control And Data Acquisition ou Système de contrôle et d’acquisition de données) gérant les applications chargées de contrôler les vannes hébergeait aussi des données sensibles. En accédant à ces machines, les pirates pouvaient donc mettre la main sur des factures et des informations financières, mais aussi prendre le contrôle des différentes vannes.

L’Ouest américain dans le noir

Le pire a semble-t-il était évité, car les « assaillants ont modifié les paramètres de l’application avec apparemment une faible connaissance de la façon dont ces systèmes de contrôle fonctionnent. Si les attaquants avaient eu un peu plus de temps et avaient été un peu plus familiers du système de contrôle industriel, l’entreprise et les populations locales auraient pu subir de sérieux dommages » conclut le rapport de Verizon.

L’exemple de ce centre de traitement des eaux confirme que les sites industriels représentent une cible très facile à attaquer. Jusqu’en 2010 et la découverte du code malveillant Stuxnet qui a touché notamment des centrales nucléaires iraniennes, les industriels et les fabricants des automates ne se souciaient guère de ce type de menace. La fiabilité des machines et la sécurité physique des employés étaient leurs principales préoccupations. Mais aujourd’hui, ces machines se connectent à l’Internet (les mises à jour ne nécessitent plus l’intervention physique d’un technicien), communiquent avec les systèmes de gestion de l’entreprise et sont développées avec des langages informatiques standards.

Dès lors, ils deviennent aussi sensibles et vulnérables au piratage que des ordinateurs ou tout autre appareil connecté. Mais la connexion de toutes les infrastructures sensibles (transport, énergie, télécom…) à des réseaux et l’analyse des données échangées rend la situation encore plus inquiétante.

Une équipe de chercheurs français en cybersécurité, dirigés par Éric Filiol, a étudié et simulé une attaque sur le réseau électrique de l’ouest des États-Unis. Grâce à Internet et au Big data, ils sont parvenus à cartographier l’ensemble du réseau et à localiser ses points faibles. « Cette phase de renseignement a permis de déterminer quels sont les pylônes et les postes électriques qu’il faudrait faire sauter de « manière classique », sur le terrain, pour créer un effet domino qui paralyserait l’ensemble du réseau », explique Éric Filiol, Directeur de Recherche du laboratoire Confiance Numérique et Sécurité/Cryptologie et Virologie Opérationnelle à l’ESIEA (une école d’ingénieurs).

Bilan : la destruction d’un nombre très réduit de points stratégiques par autant de personnes suffirait à paralyser l’Ouest américain pendant au moins 48 heures. Coïncidence, le 23 décembre dernier toute une région de l’ouest de l’Ukraine était plongée dans le noir pendant plus de six heures…

Philippe Richard