Un système SCADA piraté dans une usine américaine de retraitement de l'eau

Selon un expert en sécurité qui affirme avoir eu accès au rapport officiel concernant l'incident, la pompe d'une usine de retraitement de l'eau située à Springfield dans l'Illinois, aurait été détruite il y a quelques jours, suite à l'intrusion de cyber-attaquants dans le système SCADA qui contrôle l'appareil.

Il y a quelques jours, un site américain de retraitement de l'eau a été victime d'une cyber-attaque via le système SCADA. Un porte-parole du Département Américain à la Sécurité Intérieure (Department of Homeland Security - DHS) a confirmé l'incident, en précisant qu'il était encore trop tôt pour dire si c'était ou non le résultat d'une cyber-attaque. « Le DHS et le FBI sont en train de collecter des informations pour comprendre la nature de la défaillance ayant affecté la pompe de l'usine de Springfield, » a déclaré dans un communiqué Peter Boogaard, attaché de presse adjoint du Département. « A ce point de l'enquête, il n'y a pas d'éléments permettant de craindre un risque pour les infrastructures critiques ou une menace pour la sécurité publique. »

Pendant ce temps, dans une autre affaire, un hacker nommé « pr0f » a posté aujourd'hui sur Pastebin plusieurs images prétendant prouver qu'il avait réussi à s'introduire dans le système SCADA (Supervisory Control and Data Acquisition) de la ville de South Houston. Le hacker indique que son post est motivé par le fait que le DHS a tenté de minimiser l'incident de Springfield. « C'est stupide de sa part », écrit-il dans son message. « Je déteste cette façon dont le DHS essaye de minimiser le p***** d'état dans lequel se trouvent les infrastructures nationales, » écrit le pirate. Ce dernier affirme qu'aucun dommage n'a été fait aux machines. « Je n'approuve pas le vandalisme gratuit. C'est stupide et idiot, » écrit pr0f. « Comme l'est la manière dont vos machines SCADA sont reliées à Internet. » Selon pr0f, « le piratage de Houston ne requiert aucune qualification et pourrait être accompli par un enfant de deux ans. » Il n'a pas été possible de vérifier les affirmations du hacker.

Explication de texte de l'attaque

Joseph Weiss, directeur adjoint d'Applied Control Systems (ACS) et auteur du livre « Protéger les systèmes de contrôle industriels contre la menace informatique, » dit que la défaillance de la pompe de Springfield a eu lieu le 8 novembre. « La pompe a grillé après que le système SCADA chargé de la contrôler a commencé à s'allumer et s'éteindre par intermittence, » a expliqué Joseph Weiss, citant le rapport intitulé « Cyber intrusion dans les services publics de l'eau », qu'il a obtenu. « Il y a deux ou trois mois, les employés de l'usine avaient signalé des dysfonctionnements qualifiés de mineurs » a relaté le directeur adjoint d'ACS. Il ajoute: « une enquête menée après ces pannes avait montré que le système SCADA avait été visité par une personne utilisant un ordinateur avec une adresse IP basée en Russie ».

[[page]]

On suppose que les attaquants ont obtenu les noms d'utilisateur et les mots de passe du système en s'introduisant dans un ordinateur appartenant à l'un des revendeurs de logiciels SCADA. Ceux-ci conservent souvent la liste des utilisateurs et des mots de passe pour pouvoir intervenir à distance et faire de la maintenance auprès de leurs clients. Avec ces identifiants de connexion, n'importe qui peut accéder au système du client, et c'est ce qui s'est passé ici semble-t-il. « Nous pensons que le fournisseur du logiciel SCADA a été piraté et que les noms d'utilisateur et les mots de passe de ses clients ont été volés, » a déclaré Joseph Weiss dans un blog. « Il est également possible que les attaquants aient eu accès à des informations de connexion d'autres systèmes SCADA, mais il est difficile de savoir si une autre usine a été visée » a-t-il ajouté.

Un appel à la transparence et lien avec Duqu

Le directeur d'ACS, dont l'ouvrage fait état d'attaques similaires à travers le monde, a estimé que le Department of Homeland Security devait communiquer davantage pour avertir les autres usines de la possibilité d'une attaque. « L'incident a été révélé par un organisme d'État, mais pas par le système d'alerte Water ISAC (Water Information Sharing and Analysis Center), ni dans le rapport quotidien DHS Daily, ni le CERT américain spécialisé dans les systèmes de contrôle industriels (ICS-CERT), etc, » explique-t-il sur son blog. « Par conséquent, aucun des services des eaux que j'ai contactés n'était au courant de l'incident survenu à Springfield. »

Une source proche du Département à la Sécurité Intérieure fait remarquer que l'agence n'omet pas toujours de partager ses informations concernant les cyber-incidents. « Dans le cas présent, la justice est toujours en train d'enquêter sur la défaillance de la pompe, si bien que l'agence n'est pas encore en mesure de confirmer si elle a été causée ou non par une cyber-attaque, » a-t-il déclaré. L'information concernant l'attaque est apparue quelques semaines après la découverte de Duqu, un cheval de Troie spécifiquement conçu pour voler des informations aux fournisseurs de systèmes SCADA. Les éditeurs de solutions de sécurité pensent que le malware est utilisé pour recueillir des informations et aider les pirates à concevoir un autre ver semblable à Stuxnet, qui avait été utilisé l'an dernier pour perturber les opérations de l'usine nucléaire de Natanz en Iran. Au moment de la découverte de Duqu, certains experts en sécurité craignaient qu'il puisse être utilisé pour voler des informations de connexion sur les clients chez les fournisseurs SCADA. Mais rien n'indique pour l'instant qu'il existe un lien entre Duqu et l'incident survenu à Springfield.