Un pirate informatique tente d’empoisonner l’eau courante d’une ville de Floride : sommes-nous suffisamment protégés contre ce type de menace ?<!-- --> | Atlantico.fr
Atlantico, c'est qui, c'est quoi ?
Newsletter
Décryptages
Pépites
Dossiers
Rendez-vous
Atlantico-Light
Vidéos
Podcasts
High-tech
pirate informatique eau potable Oldsmar Floride cybersécurité menaces
pirate informatique eau potable Oldsmar Floride cybersécurité menaces
©Thomas SAMSON / AFP

Cybersécurité

Un pirate informatique est parvenu à entrer de façon illégale dans le réseau d’ordinateurs d’une usine d’approvisionnement en eau en Floride. Il aurait donné des instructions afin d'augmenter à un niveau dangereux la concentration d'un additif chimique. Un technicien a pu intervenir à temps.

Loïc Guézo

Loïc Guézo

Fort de 30 ans d'expérience, Loïc Guézo conseille les grandes entreprises sur leurs stratégies de défense en matière de cybersécurité. Depuis 2023, Loïc est Vice-Président du CLUSIF (association de référence de la sécurité du numérique en France, forte de 1200 membres) et par ailleurs Lieutenant-Colonel (RCDS) de la Gendarmerie Nationale, rattaché au commandement de la gendarmerie dans le cyberespace (COMCYBERGEND).
Voir la bio »

Atlantico.fr : Comment le pirate informatique a-t-il tenté d'empoisonner leau courante de la ville ? 

Loïc Guezo : Nous ne connaissons pas aujourd’hui le mode opératoire initial, nous savons cependant que le pirate en question a eu accès à distance au système du contrôle du caractère chimique de l’eau. Il a tenté de modifier l’un des réglages, ce qui représente une tentative de geste malveillant car cela aurait une conséquence claire sur le consommateur.

Dans ce cas, il s’agit d’une petite station d’épuration. Elle a mis en place des dispositifs de télémaintenance avec un automatisme (soit de l’électromécanique améliorée) assez rudimentaire. Le système de contrôle de commandes est informatisé afin de permettre d’actionner à distance des vannes, des moteurs, des pompes. Très souvent, ce type de système dans ces installations n’est pas forcément aux normes de sécurité informatiques et accessible à distance.

De l’autre côté, nous avons des installations extrêmement sensibles. Elles fonctionnent sur le même principe, mais avec une complexité bien plus élevée et avec des problématiques de sécurité beaucoup plus maitrisées. Ces grosses installations ne permettent pas des accès externes en télémaintenance sans contrôle fort voir ne le permet pas du tout (air gap).

Ce qui peut se passer, c’est que les accès distants de télémaintenance sont mal sécurisés amenant ainsi le pirate à trouver le moyen de les utiliser. Vraisemblablement, il n’y a pas eu de principe de air gap appliqué dans cette station en Floride. Une attaque faite par spear phishing, sur le mail de l’ingénieur chargé de la maintenance a pu ensuite par rebond se transformer en une prise de contrôle du logiciel de commande.

Avec linformatisation croissante de nos sociétés, ce risque risque-t-il de se multiplier ?

Le risque ne va pas se multiplier, il est déjà multiplié. Au sein du Clusif, nous avons un groupe de travail dédié à la sécurité des sites industriels qui recense les différents incidents les plus marquants dans ces types d’environnements. Ces sujets industriels sont très sensibles, des opérateurs d’infrastructures d’importances critiques peuvent être des cibles de choix pour des pirates étatiques et des opérations de cyber coercition. On voit régulièrement aux États-Unis des annonces rendues publiques de piratage de système de contrôle et notamment de l’eau. Cela avait été le cas il y a quelques années avec le piratage de digues en banlieue de New-York. Les Iraniens avaient été accusés de cela.

Nous sommes pour l’instant dans des systèmes de pression entre États qui montrent leur capacité à s’introduire dans les systèmes critiques de l’autre et lui font peser une menace sourde au-dessus de la tête et nous ne sommes pas dans de logiques de cyber-criminalité où il y aurait un système de rançongiciel sur un système d’épuration de l’eau.

Nos infrastructures sont-elles suffisamment protégées contre ce type dattaque ? 

En France, nous agissons à ce propos. Le Clusif par exemple fait partie des lanceurs d’alerte sur ce sujet. Chaque secteur industriel dispose de protections cyber afin de garantir la sécurité de son activité. En France, des opérateurs d’importances vitales dans le cadre de la loi de programmation militaire sont sous contrôle de l’Agence Nationale pour la Sécurité des Systèmes d’Information. Elle établit des référentiels de calculs du risque et des exigences de sécurité.

Aujourd’hui, c’est la réponse suffisante jugée par rapport au risque face auquel on doit faire face. En sécurité, il n’y a jamais de protection à 100 %. Les opérateurs doivent intégrer au mieux les plans cyber avec des scénarios de risque dans lesquels des atteintes fortes ou majeures de ces sites doivent être pris en compte.

En raison de débordements, nous avons fait le choix de suspendre les commentaires des articles d'Atlantico.fr.

Mais n'hésitez pas à partager cet article avec vos proches par mail, messagerie, SMS ou sur les réseaux sociaux afin de continuer le débat !