Il s’en est fallu de peu pour qu’une catastrophe ait lieu. Un pirate a accédé au système de traitement des eaux de la ville d’Oldsmar en Floride et a tenté d’augmenter la concentration en soude caustique (hydroxyde de sodium ou NaOH) à des niveaux très dangereux. Ce produit est utilisé couramment dans les produits d’entretien, mais dans le cadre du traitement de l’eau, il sert à équilibrer le PH et à éliminer les métaux lourds.

Dans le détail, l’attaque sur le SI de traitement des eaux d’Oldsmar s’est déroulée vendredi dernier à 13h30 par le biais du logiciel d’accès à distance Teamviewer pour s’infiltrer dans le PC d’un employé. L’attaque a été détectée grâce à la présence d’esprit d’un salarié qui a constaté que quelqu’un prenait le contrôle de la souris et l’utilisait pour faire des modifications dans le logiciel de traitement des eaux de la ville.

L’intrus a passé entre 3 et 5 minutes à l’intérieur du système et a fait passer le niveau d’hydroxyde de sodium de 100 parties par million à 11 100 parties par million. La modification a été immédiatement inversée par l’opérateur et l’accès à distance au système a été coupé.

Des mécanismes d'alertes en redondance

Le maire de la ville, Eric Seidel, s’est voulu rassurant en expliquant que le système de traitement de l’eau d'Oldsmar comprend des mécanismes déclenchant une alarme en cas de dépassement de la concentration autorisée de produits chimiques. « Même si l'opérateur de la station n'avait pas rapidement inversé la quantité importante d'hydroxyde de sodium, il aurait fallu entre 24 et 36 heures pour que cette eau atteigne le système d'approvisionnement en eau et il existe des mécanismes là où l'eau est contrôlée avant d'être rejetée », a précisé le shérif Bob Gualtieri en charge de l’enquête avec le FBI et les services secrets.

Cet épisode apporte plusieurs enseignements. En premier lieu, le cyber-sabotage existe toujours et il s’attaque à des infrastructures essentielles. On se souvient de l’épisode du blackout électrique en Ukraine ou plus récemment des inquiétudes autour de Sandworm. L’Anssi s’est inquiétée de ce type de risques moins visibles que les ransomwares, mais particulièrement dangereux. Autre enseignement, les systèmes industriels restent encore vulnérables et nécessitent de repenser la politique des accès. Enfin, la bonne réaction du salarié montre que la sensibilisation reste un pilier de la stratégie de sécurité des entreprises.