Les experts en sécurité mettent en garde depuis longtemps contre les dangers liés à l'exposition des systèmes de contrôle industriel (ICS) sur Internet, où ils peuvent devenir des cibles faciles pour les groupes de menace affiliés à un gouvernement et les hacktivistes. Dans une nouvelle alerte exhortant les RSSI à prendre des mesures, le Centre canadien pour la cybersécurité (Canadian Centre for Cyber Security) fournit des exemples récents d'attaques réelles qui ont eu un impact sur les opérations d'une installation hydraulique, d'une société pétrolière et gazière et d'une exploitation agricole. « Même si les entreprises individuelles ne sont pas nécessairement des cibles directes, elles peuvent devenir des victimes occasionnelles, car les hacktivistes exploitent de plus en plus les équipements ICS accessibles à Internet pour attirer l'attention des médias, discréditer les organisations et nuire à la réputation du Canada », a averti l'agence cette semaine.
L'approvisionnement en eau affecté...
Dans un incident, des pirates ont accédé à un système de contrôle utilisé par une compagnie des eaux et ont altéré les valeurs de pression de l'eau, ce qui a eu un impact négatif sur le service aux clients. Ces incidents rappellent ceux survenus aux États-Unis ces dernières années. En 2023, un groupe de cybercriminels lié à l'Iran, connu sous le nom de Cyber Av3ngers, avait pris le contrôle d'un système de contrôle industriel appartenant à la Municipal Water Authority of Aliquippa en Pennsylvanie. Ce système était également utilisé pour réguler la pression de l'eau, mais l'intrusion a été détectée avant que l'approvisionnement en eau ne soit affecté. En 2021, un pirate informatique avait utilisé une connexion à distance TeamViewer pour accéder au système de contrôle d'une usine de traitement des eaux à Oldsmar, en Floride. L'attaquant avait modifié les niveaux d'hydroxyde de sodium, communément appelé soude caustique, ajoutés à l'eau, les multipliant par plus de 100. Heureusement, l'attaque a été détectée et la modification a été immédiatement annulée par les opérateurs de l'usine. Une attaque très similaire s'est produite dans une usine de traitement des eaux desservant certaines parties de la baie de San Francisco. Les cyberattaques contre les services des eaux en particulier ont considérablement augmenté au cours de l'année dernière, les pirates informatiques affiliés ou soutenant l'Iran, la Russie et la Chine manifestant tous leur intérêt pour ces systèmes.
Dans un autre incident signalé par le Centre canadien pour la cybersécurité, des pirates ont accédé à une jauge de réservoir automatisée (Automated Tank Gauge, ATG) exposée à Internet appartenant à une société pétrolière et gazière canadienne et ont manipulé ses valeurs, déclenchant de fausses alarmes. Les ATG sont utilisées pour surveiller le niveau, la pression et la température du carburant à l'intérieur des réservoirs. Elles sont également conçues pour détecter les fuites potentielles et déclencher des contre-mesures. Ces jauges sont déployées dans les stations-service, les centrales électriques, les aéroports et même les bases militaires. L'an dernier, des chercheurs ont révélé des vulnérabilités critiques et très graves dans six modèles d'ATG provenant de cinq fabricants et ont alerté à ce moment-là contre le défaut d’authentification de plus de 6 000 ATG directement exposées à Internet
... tout comme celui de l'agro-alimentaire
Un troisième incident signalé par l'agence gouvernementale canadienne concernait des équipements contrôlant les niveaux de température et d'humidité dans un silo de séchage de céréales appartenant à une ferme canadienne. La manipulation de ces niveaux aurait pu entraîner des conditions potentiellement dangereuses si elle n'avait pas été détectée à temps. Ces incidents mettent en évidence la diversité des entreprises, industries et installations qui pourraient être touchées par des pirates informatiques opportunistes, avec parfois des conséquences graves pour la sécurité et la santé humaines. L'année dernière, l'augmentation des activités de cybercriminalité contre les ICS a également incité l'Agence américaine de cybersécurité et de sécurité des infrastructures (Cybersecurity and Infrastructure Security Agency, CISA), ainsi que d'autres agences gouvernementales, à émettre une alerte à l'intention des propriétaires d'actifs technologiques opérationnels (OT). Les entreprises ont un besoin légitime de gérer et de surveiller à distance leurs systèmes de contrôle industriel. Cependant, elles doivent le faire à l'aide de protocoles sécurisés et testés, comme les VPN avec authentification multifactorielle, plutôt qu’en exposant directement les interfaces de contrôle à Internet.
Cette précaution s’applique aux automates programmables industriels (Programmable Logic Controller, PLC), aux unités terminales distantes (Remote Terminal Unit, RTU), aux systèmes de contrôle et d'acquisition de données (Supervisory Control and Data Acquisition, SCADA), aux interfaces homme-machine (Human-Machine Interface, IHM), aux systèmes instrumentés de sécurité (Safety Instrumented System, SIS), aux systèmes de gestion technique des bâtiments (Building Management System, BMS) et aux dispositifs de l'internet industriel des objets (Industrial Internet of Things, IIoT). « Les gouvernements provinciaux et territoriaux sont encouragés à se coordonner avec les municipalités et les entreprises relevant de leur compétence afin de s'assurer que tous les services sont correctement répertoriés, documentés et protégés », a recommandé le Centre canadien pour la cybersécurité dans son alerte. « Cela s’avère particulièrement nécessaire pour les secteurs dans lesquels la surveillance réglementaire ne couvre pas la cybersécurité, tels que l'eau, l'alimentation ou la fabrication. » L'alerte de l'agence contient des liens vers plusieurs documents qui fournissent des conseils de sécurité généraux et spécifiques aux ICS.