Vingt ans de cyberattaques contre le monde de l’eau

Industrie de l’eau : retour sur vingt ans de cyberattaques | Stormshield

Secteur critique autant qu’essentiel, le monde de l’eau doit, depuis une vingtaine d’années, jongler avec les menaces cyber. Arme de déstabilisation entre pays, santé publique… Les cyber-criminels ont mille raisons de vouloir s’attaquer à l’eau. Et tous les pays ne semblent d’ailleurs pas égaux face à la montée de cette tendance criminelle, sur fond de vengeances d’anciens collaborateurs ou de questions d’ordre géopolitique.

Cependant une chose est sûre : mettre à mal les systèmes d’information de ces infrastructures peut entraîner des conséquences dramatiques, et de grande ampleur. Retour sur les grandes attaques de ces dernières années.

 

#1 – Une station d’épuration dans le comté de Maroochy (Australie) en 2000

Au cours des mois de mars et d’avril 2000, un ancien prestataire technique de la station d’épuration de Maroochy en Australie a pris le contrôle des systèmes de l’usine à des fins malveillantes. Après que sa demande d’emploi ait été refusée, il aurait ainsi détourné l’activité de plusieurs pompes en envoyant de fausses commandes. L’une des pompes aurait alors cessé de fonctionner, provoquant le déversement d’eaux usées dans les fonds marins, l’empoisonnement de la faune et de la flore locales, et la propagation d’odeurs nauséabondes aux alentours... Avant de réussir, l’individu aurait réalisé pas moins de… 46 essais pour pénétrer les systèmes d’information de l’usine, sans jamais être détecté. Une attaque qui mettra en exergue la fragilité du monde de l’eau face aux menaces cyber.

 

#2 – Un système de canaux en Californie (États-Unis) en 2007

À l’été 2007, un ancien employé d'un petit réseau de canaux californiens (Tehama Colusa Canal Authority, à Willows) a été accusé d'avoir installé un logiciel non-autorisé sur un ordinateur utilisé pour dériver l'eau de la rivière Sacramento à des fins d’irrigation. Une installation qui a endommagé l’ordinateur, faisant partie du SCADA. Cet ancien superviseur, responsable des systèmes informatiques de l’entreprise, bénéficiait encore de ses droits d’accès sur site.

 

#3 – Une station d’eau potable en Géorgie (États-Unis) en 2013

En avril 2013, c’est une attaque physique qu’a subi l’installation d’eau potable d’une petite ville de Géorgie du Nord. Aucune effraction aux portes ou fenêtres, les attaquants se seraient introduits dans la station en passant par-dessus les barbelés avant d’accéder au système de supervision. Ils ont ensuite modifié les réglages des taux de fluor et de chlore – conduisant la société gestionnaire à déconseiller aux 400 habitants d’utiliser l’eau du robinet pendant quelques jours.

Interrogé sur les potentiels auteurs, le Directeur général de la station déclarait que les véhicules des employés étaient trackés et qu’aucun n’était présent à côté de la station au moment de l’attaque. Avant d’ajouter que les anciens employés pouvaient encore avoir des clés ou des accès qu’ils ne connaissaient pas…

 

#4 – Un fournisseur public du Michigan (États-Unis) en 2016

Dans l’État du Michigan, le fournisseur public d’eau et d’électricité The Lansing Board of Water & Light (BWL) est victime d’un ransomware. Un employé aurait malencontreusement cliqué sur une pièce-jointe malveillante contenue dans un email. L’attaque n’a a priori pas eu de conséquences sur les systèmes de distribution d’eau et d’électricité mais le ransomware a rendu indisponible une partie des activités de BWL, dont les lignes téléphoniques et le service client.

Les dirigeants auraient alors choisi de payer les 25 000 dollars de rançon exigée par les cyber-criminels pour reprendre le cours normal de leur activité. À ne pas reproduire chez vous.

 

#5 – Une société de distribution en Caroline du Nord (États-Unis) en 2018

Début octobre 2018, la Onslow Water and Sewer Authority (ONWASA), située à Jacksonville en Caroline du Nord, a subi une double intrusion informatique. Le 3 octobre, le ransomware Emotet se serait propagé dans les systèmes d’information de la société, suivi par le ransomware Ryuk une dizaine de jours plus tard. La société qui approvisionne pas moins de 150 000 foyers en eau s’est vue dans l’obligation de stopper l’activité d’une partie de son parc informatique pour limiter la propagation des malwares. La double attaque n’aurait pas perturbé le fonctionnement des systèmes de distribution d’eau et de traitement des eaux usées, mais de nombreuses bases de données et des éléments clés d’ONWASA auraient été cryptées.

L’entreprise a donc été contrainte de ralentir son activité durant plusieurs semaines et de reconstruire une partie de ses systèmes d’information.

 

#6 – Une compagnie de distribution du Kansas (États-Unis) en 2019

En mars 2019, la compagnie publique de distribution d’eau du comté d’Ellsworth au Kansas, a été à son tour la cible d’une action malveillante de la part d’un ancien collaborateur. Celui-ci aurait pris le contrôle à distance des systèmes d’information de l’entreprise pour altérer le traitement de l’eau potable, destinée à la population.

L’ancien employé travaillait justement sur les systèmes de monitoring de l’usine, et ses accès n’avaient pas été révoqués lors de son départ de l’entreprise.

 

#7 – Des stations de pompage et de traitement en Israël en 2020

Étape au Moyen-Orient dans cette liste, et plus précisément en Israël. En avril 2020, des cyber-criminels suspectés d’être affiliés au régime iranien auraient attaqué plusieurs stations de pompage et de traitement des eaux usées, et tenté d’augmenter le niveau de chlore dans certains systèmes d’approvisionnement d’eau qui alimentent une partie de la population israélienne. Le gouvernement aurait rapidement contre-attaqué, notamment en incitant toutes les infrastructures d’eau et d’énergie du pays à modifier les mots de passe de l’ensemble de leurs systèmes SCADA, pour parer à toute autre éventuelle intrusion.

 

#8 – Des pompes à eau en Israël en 2020

En juin de la même année, les autorités israéliennes indiquaient que des pompes à eau dédiées à l’agriculture dans la région de Galilée auraient également été attaquées, ainsi qu’un système d’approvisionnement d’eau de la province de Mateh Yehuda. Les détails de l’attaque n’ont pas été publiés, mais il semblerait que, là encore, les cyber-criminels aient tenté d’altérer la qualité de l’eau en modifiant le niveau de chlore.

 

#9 – Un réservoir d’eau recyclée en Israël en 2020

Annus horribilis en Israël, puisque début décembre 2020, une faille dans le système de contrôle d’un réservoir d’eaux recyclées aurait été révélée par un groupe d’attaquants iraniens. Selon les cyber-criminels, le système IHM (Interface Homme Machine, HMI en anglais) aurait été accessible depuis Internet sans aucune authentification requise, permettant ainsi à n’importe quel individu mal intentionné d’atteindre et de prendre le contrôle de certains paramètres comme la température ou la pression de l’eau.

 

#10 – Deux stations d’épuration à San Francisco et en Floride (États-Unis) en 2021

Retour aux États-Unis, du côté de la baie de San Francisco, en Californie. Un attaquant aurait pris, en janvier 2021, le contrôle d’une station d’épuration de la région et aurait supprimé les programmes informatiques impliqués dans le traitement de l’eau potable. L’attaque est toujours en cours d’analyse par les autorités américaines et selon les premiers éléments de l’enquête, le cyber-criminel aurait pénétré les systèmes de l’usine à l’aide d’identifiants d’anciens employés, utilisés pour se connecter au logiciel de prise de contrôle à distance TeamViewer.

Le mois suivant, en février 2021, la ville d’Oldsmar, en Floride, a frôlé de peu une catastrophe sanitaire. Des cyber-criminels auraient pris le contrôle de la station d’épuration de la ville, dont les systèmes informatiques étaient mal protégés. En effet, d’après les premiers éléments de l’enquête, deux points d’entrée auraient permis l’attaque : d’une part, les attaquants auraient collecté des identifiants de connexion TeamViewer partagés par plusieurs employés, et d’autre part, ils auraient exploité des failles présentes au sein d’un système d’exploitation Windows 7. Cette intrusion aurait permis aux cyber-criminels d’augmenter nettement le niveau d’hydroxyde de sodium, rendant l’eau potable extrêmement toxique. Par chance, les équipes de la station ont pu rapidement reprendre le contrôle de la situation et ainsi éviter à quelques 15 000 habitants de la ville d’Oldsman d’être intoxiqués.

 

#11 – Des infrastructures de traitement des eaux en Norvège en 2021

Volue, une société norvégienne qui équipe plusieurs infrastructures de traitement des eaux en applications et logiciels, aurait été victime du ransomware Ryuk. Les faits se seraient produits début mai 2021 et le ransomware se serait propagé aux systèmes d’information de 200 fournisseurs publics d’eau du pays, clients de Volue. Plusieurs plateformes front-end clients auraient été impactées et l’entreprise aurait rapidement mis en place des moyens pour isoler puis restaurer les systèmes infectés, et ainsi limiter l’impact auprès de ses clients. Volue indique qu’en l’état actuel des choses, 70% de ses clients n’auraient pas été impactés par l’attaque ou seraient désormais hors d’attente. Cependant, tous les tenants et aboutissants de cette cyberattaque ne sont pas encore connus et l’enquête suit son cours.

Partager sur

[juiz_sps buttons="facebook, twitter, linkedin, mail"]
Malgré cette liste qui grossit, les tentatives de cyberattaques ciblant des barrages hydrauliques, des systèmes d’irrigation ou encore des usines de traitement des eaux sont peu présentes dans les médias. Alors que ces attaques existent bel et bien – et qu’elles revêtent même un caractère stratégique inédit. Quel état des lieux pour la cybersécurité des réseaux d’eau à travers le monde ?
Avec une longue liste de protocoles industriels (dont SOFBUS et LACBUS) supportés par l'analyse contextuelle des paquets (Stateful DPI) dans le trafic du réseau, notre firewall industriel SNi20 se présente comme une des solutions les plus efficaces pour assurer la cybersécurité de vos réseaux d’eau.

À propos de l'auteur

mm
Khobeib Ben Boubaker
Head of Industrial Security Business Line, Stormshield

Formé au sein de l’École d’Ingénieur du CESI et titulaire d’un MBA de l’ESCP Europe, Khobeib a débuté sa carrière au sein d’Alcatel Lucent dans l’entité Submarine Network. Ses premiers amours : la conception des systèmes par fibre optique permettant l’intercommunication entre les pays et opérateurs. Ingénieur R&D, formateur international, ingénieur d'affaires, puis Directeur de Business Unit : Khobeib a connu plusieurs casquettes techniques et business pendant une dizaine d'années, avant d'arriver chez Stormshield. Et après un premier poste comme Business Developper de l’offre sécurité industrielle, il est désormais responsable de la Business Line dédiée au secteur industriel pour accompagner les ambitions stratégiques de l'entreprise en matière de cybersécurité IT/OT.