Lundi 8 février, lors d'une conférence de presse organisée par le comté de Pinellas en Floride, le shérif Bob Gualtieri a lâché une nouvelle liée à la cybersécurité industrielle qui a eu des répercussions dans le monde entier. Le shérif, ainsi que le maire d’Oldsmar (15 000 habitants), ont révélé qu'un pirate s'était infiltré dans le système de traitement des eaux pour modifier les niveaux d’hydroxyde de sodium dans l’eau potable de 100 parties par million à 11 100 parties par million. Pour réaliser cela, le saboteur a accédé à un système de contrôle industriel interne (ICS), en utilisant probablement des identifiants volés ou perdus, via TeamViewer, une application de contrôle à distance.

 Gualtieri et les responsables de la ville n'ont fourni que peu de détails sur cette brèche inquiétante. L’attaquant a été pris sur le fait par un employé de la compagnie des eaux qui a vu le curseur se déplacer sur l'écran en exécutant des commandes dont on a découvert quelques heures plus tard qu'elles avaient pour but de modifier la composition chimique de l’eau en soude caustique. Une fois le méfait découvert, les niveaux d'hydroxyde de sodium ont été rétablis à la normal et aucun dommage n'a été causé à l'approvisionnement en eau. « Les contrôles et les redondances du système auraient de toute façon détecté les modifications mortelles », ont affirmé les fonctionnaires. Personne n'a encore déterminé si le pirate se trouvait sur le sol américain ou s'il agissait depuis un pays extérieur aux États-Unis. Pour l’instant, le FBI et les services secrets mènent l’enquête.

Une attaque menée par un amateur

Non sans rappeler le piratage du traitement des eaux qui a eu lieu en Israël en mai dernier par un groupe soutenu par l’Iran, les experts dans la sécurité industrielle pensent néanmoins que l’attaque d’Oldsmar est le fait d’un amateur. « Cet incident ne semble pas avoir les caractéristiques d’une opération minutieusement planifiée et n'a pas le niveau de complexité observé quand des acteurs sophistiqués, notamment des groupes parrainés par des États-nations, sont impliqués », a déclaré Daniel Kapellmann Zafra, responsable de l'analyse, Mandiant Threat Intelligence. « L'attaquant a apparemment utilisé une technique assez courante, en accédant à une interface homme-machine (IHM) exposée à Internet, et a apporté au processus des modifications qui n’auraient probablement pas pu passer inaperçues ».

Lesley Carhart, analyste principal des menaces de Dragos, une entreprise spécialisée dans la cybersécurité industrielle, partage cet avis. « Ils voulaient atteindre cette compagnie des eaux, mais ils ont vraiment agi de manière radicale », a-t-elle déclaré. « Il est probable que les modifications auraient été détectées rapidement. Les groupes de pirates soutenus par un État ne font pas ce genre d'erreur. Ils cherchent à ne pas se faire repérer trop vite. Ces attaquants n’ont pas l’air très aguerris : soit ils ont voulu s’amuser, soit ils n’ont tout simplement pas les compétences pour mener des cyber-attaques ». Un groupe de pirates sérieux « aurait probablement pris la main sur l’affichage de certains écrans », a déclaré Matt Lampe, ancien DSI du Los Angeles of Water and Power (LADWP), aujourd'hui partenaire de la société de conseil en cybersécurité des infrastructures critiques Fortium Partners. « Si Stuxnet a été aussi efficace, ce n’est pas seulement parce qu'il a pris le contrôle des machines, mais aussi celui des écrans. Un attaquant aguerri se serait aussi attaqué à certains de ces capteurs, comme les capteurs de pH, et se serait assuré qu'ils pouvaient faire croire que les niveaux étaient normaux, même si le pH changeait radicalement ».

TeamViewer, un mal peut être nécessaire

De nombreux experts en cybersécurité estiment que l'utilisation de TeamViewer par le service de traitement des eaux d’Oldsmar est un mauvais choix, mais peut-être un mal nécessaire. « Il est clair que la cybersécurité sur ce système était épouvantable. On sait depuis des années que TeamViewer est une application pas très sûre. Et l’on sait aussi qu’elle a été ciblée à de multiples reprises », a encore déclaré M. Lampe. M. Carhart défend le choix de TeamViewer par son faible coût et son utilité, un facteur important pour les services d'eau en manque de budget. « Ils utilisent des produits comme TeamViewer parce qu'ils n'ont pas d'argent et pas de personnel. Ce n'est pas parce qu'ils ne se soucient pas de la cybersécurité, mais parce que, dans ce contexte de pandémie, ils ont besoin d’un accès à distance ».

Selon la commissaire Maria S. Bocanegra de la Commission du commerce de l'Illinois, s'assurer que les compagnies des eaux disposent de fonds suffisants pour faire fonctionner leurs systèmes avec les technologies les plus récentes et les plus sûres est un exercice d'équilibre perpétuel. « Du point de vue de la réglementation, nous nous demandons constamment qui paie pour ces mises à niveau et comment nous pouvons garantir que les gens ont accès à une eau potable sûre et fiable tout en veillant à ce qu'elle soit abordable », a-t-elle expliqué.

Un besoin de réponses

En attendant, au lendemain de cette attaque, le service des eaux d’Oldsmar devrait chercher des réponses à quelques questions fondamentales. « Quelle était la portée de l’attaque ? Qu’est-ce qui a été modifié ? Cet événement était-il ponctuel ou était-il en cours depuis des semaines ? C'est le genre de questions auxquelles le service des eaux doit répondre sans délai, car ce genre d'analyse va les aider à déterminer l'ampleur des mesures correctives qu'ils doivent appliquer dès maintenant », a expliqué M. Carhart. De son côté, Daniel Kapellmann Zafra, de Mandiant Threat Intelligence approuve la nécessité de cette évaluation. Il pense aussi que le service public devrait en profiter pour rechercher d'autres vulnérabilités. « Dans un premier temps, ils devraient identifier tous les autres actifs exposés à Internet et les retirer des réseaux publics ou mettre en place des mesures d'atténuation pour les protéger contre des futures attaques ». En fait, toutes les compagnies des eaux devraient « utiliser systématiquement des scanners pour identifier les actifs connectés à Internet », a encore expliqué M. Zafra. « Si elles n’ont pas d’autre choix que d’exposer ces actifs à des réseaux externes, elles devraient renforcer en priorité les systèmes en contact avec l'extérieur et sécuriser les accès à distance en utilisant une authentification multi-facteurs ».

Des experts externes pour évaluer la sécurité et des formations

Pour se préparer à l'avenir de manière plus sûre, les sociétés de traitement des eaux, qui sont pour la plupart des structures de petite taille et manquent de compétences en matière de cybersécurité, devraient faire appel à des experts extérieurs pour évaluer la sécurité globale de leurs installations et repérer les systèmes exposés à Internet et d'autres vulnérabilités en matière de cybersécurité. « Je pense qu’il est possible d’améliorer un grand nombre de choses de manière significative à un coût relativement faible », a déclaré M. Lampe. « Il suffirait que quelqu'un y jette un coup d'œil et dise : Voici les mesures que vous pourriez prendre pour améliorer sensiblement votre tolérance au risque ». « Nous devons nous assurer que notre personnel est parfaitement formé et prêt à identifier et à prévenir ou à remédier à ce genre de choses lorsqu'elles se produisent », a déclaré pour sa part Mme Bocanegra, de l'Illinois.

Michael Arceneaux, directeur général du Water Information Sharing and Analysis Center (WaterISAC), pointe également l'importance de la formation. « Il faut plus de formation sur la sécurité pour tout le secteur, et pas seulement pour ceux qui prennent l'avion pour se rendre à une conférence », a-t-il déclaré. Jennifer Lyn Walker, analyste de la cybersécurité de WaterISAC, espère que l'incident d'Oldsmar incitera les compagnies des eaux à rechercher des formations, y compris des cours gratuits proposées par la Cybersecurity and Infrastructure Security Agency (CISA) qui dépend du Département de la Sécurité intérieure des États-Unis. Selon M. Arceneaux, la CISA peine à répondre aux besoins et ne peut proposer qu'une poignée de formations chaque année. « L’agence fédérale fait un travail formidable, et nous les apprécions beaucoup, mais ce serait encore mieux si le Congrès lui donnait beaucoup plus d'argent ».