En Floride, ce 5 février, des pirates ont pénétré dans le système informatique gérant le réseau d'eau potable d'une ville, et ont failli l'empoisonner. De quoi poser de sérieuses questions sur la sécurité des installations sensibles. Et pas seulement aux Etats-Unis...
Jamais la menace n'avait été poussée aussi loin. La petite ville d’Oldsmar, en Floride, a évité de justesse une attaque informatique qui aurait pu lui être fatale. Le 5 février, un pirate informatique est parvenu à s’introduire dans l’ordinateur d'un employé de l’usine de traitement des eaux de la ville, via TeamViewer, un logiciel utilisé pour le contrôle des ordinateurs à distance. Pendant quelques minutes, cet inconnu a réussi prendre possession des commandes des machines et à manipuler la teneur d’un élément chimique dans l’eau, l’hydroxyde de sodium, utilisé pour réguler son acidité et lutter contre la corrosion dans les canalisations.
Le hacker a multiplié par dix la concentration de ce produit dans l’eau potable, selon les autorités de police locales. Des taux qui auraient pu empoisonner le réseau d’approvisionnement de la ville et provoquer d’importants dégâts sur la santé des habitants, si l’attaque n’avait pas été déjouée à temps par un employé de l'entreprise. « L’exploitant a remarqué l’augmentation et a rétabli les niveaux tout de suite », a précisé en conférence de presse le shérif du comté, Bob Gualtieri. « A aucun moment, la population n'a été mise en danger », a-t-il précisé.
Alors qu'une enquête du FBI a été ouverte, la semaine dernière, pour retrouver le responsable de cette « intrusion illégale », l'incident d'Oldsmar pose de nombreuses questions sur la sécurité des installations sensibles, comme l'eau et de l'électricité. Ces sites industriels se retrouvent de plus en plus exposés à des cyberattaques menées depuis l'arrivée d'Internet. Aux États-Unis, plusieurs usines de traitement des eaux ont déjà été prises pour cibles par des groupes de pirates, comme l'avait déjà révélé l'entreprise américaine de sécurité Verizon, dans un rapport publié en 2016.
Une année novatrice en termes de cyberattaques
En France, les installations d'eau constituent des « opérateurs d'importance vitale » (OIV). A ce titre, ils sont placés sous la surveillance de l'Autorité nationale de la sécurité des systèmes d'information (ANSSI) qui supervise, au quotidien, le niveau de menace existant contre les sites industriels du pays. Cette autorité publique met régulièrement en garde les entreprises du secteur contre les risques d'intrusion ou d'actes de malveillance. La liste de ces derniers est mise à jour régulièrement sur le site de l'Anssi à l'attention des gestionnaires de réseau et des opérateurs dans chaque région.
Mais la faille n'est pas toujours là où on l'attend. En octobre 2016, l'agent de traitement des eaux « Rhin Meuse » a souffert d'une importante cyberattaque, attribuée au virus « Locky », qui l'avait empêché d'accéder à ses données si elle ne versait pas une rançon. « Du point de vue des cyberattaques, cette année a été extrêmement novatrice en termes d'intensité et de sophistication », explique Ivan Fontarensky, responsable du renseignement d'origine cyber chez Thales. « Les secteurs les plus touchés sont principalement les infrastructures critiques liées à l'énergie, l'eau, les eaux usées et les installations commerciales ».
Parfois le fait de simples amateurs
Aucun pays n'a été épargné par ce fléau. L'année dernière, en mai, le directeur des opérations cyber israélien, Yigal Unna, a annoncé avoir déjoué une attaque massive contre les systèmes de contrôle de supervision et d'acquisition des données (SCADA) de ses usines d'eau usées, de plusieurs stations de pompage et d'installations d’égouts. « Dans le cadre d’un conflit, ces attaques contre des infrastructures critiques peuvent constituer une forme de test et être recherchées pour leur effet psychologique sur les populations », nous explique le chercheur de l'Institut français des relations internationales, Julien Nocetti.
Mais ces opérations ne sont pas toujours pilotées depuis des États ennemis, ou par des groupes criminels, comme pourraient le laisser croire ces virus de nature ultra-sophistiquée. Il arrive qu'elles soient le fait d'individus isolés, traînant sur Internet. De simples amateurs peuvent accéder en quelques clics aux objets connectés d'une entreprise, comme ses caméras de surveillance, si le port d'entrée de ces appareils a été laissé ouvert au moment de leur installation, par exemple. Lorsque ces machines ne sont pas configurées correctement, elles peuvent facilement être repérées et mises en ligne sur des moteurs de recherche comme Shodan, qui recense toutes les informations disponibles sur ces appareils, comme l'adresse IP de leurs utilisateurs.
Les attaques augmentent
« Ces commandes peuvent se retrouver connectées à Internet », commente Ivan Fontarensky. « Cette menace est de plus en plus présente dans les entreprises de petite taille », ajoute l'expert, où les services d'entretien sont parfois assurés par des entreprises extérieures qui utilisent des logiciels de prise en main à distance, comme TeamViewer ou VNC, pour intervenir chez leurs clients. « Ces outils rendent le contrôle des postes facilement accessible par les hackers », fait-il remarquer. Dans ce cas, les pirates n'ont plus qu'à récupérer le mot de passe du client pour s'introduire directement dans son ordinateur. C'est ce qui se serait passé à Oldsmar, selon les premiers éléments de l'enquête, révélés par le shérif de la ville, Bob Gualtieri.
L'an dernier, l'Anssi a dû intervenir à près de 200 reprises contre des tentatives d'attaques informatiques, a alerté en janvier son directeur, Guillaume Poupard, sur BFM Business. Soit quatre fois plus que l'année précédente. Bien que les pirates aient privilégié cette année le vol de données et les demandes de rançon, les autorités françaises restent sur le pied de guerre face aux risques de sabotage industriel, accru ces temps-ci par le recours de plus en plus fréquent au télétravail. Dernier épisode en date de cette guerre numérique, l'attaque menée depuis le 9 février, cette semaine, contre l'hôpital de Dax dont les systèmes informatiques ont été paralysés pendant plusieurs jours par un logiciel malveillant, malgré l'urgence de maintenir les soins. Comme s'il n'y en avait pas assez d'un seul virus à la fois...
A LIRE AUSSI : Phishing, rançongiciels et vol de données bancaires : les cyberattaques, autre épidémie du coronavirus
