
Des usines américaines d’eau potable encore très vulnérables aux cyberattaques
Radio-Canada
Les États-Unis, très ciblés par des cyberattaques, semblent avoir négligé jusqu’ici les systèmes les plus vulnérables que sont les infrastructures d’eau potable.
Le 15 janvier 2021, un pirate informatique a réussi à entrer dans le système de gestion d’une usine municipale de distribution de l'eau qui desservait certains coins de la baie de San Francisco. Un piratage assez facile puisqu’il avait le nom d'utilisateur et le mot de passe du compte TeamViewer d'un ancien employé et a pu ainsi accéder au système, grâce à ce programme qui permet aux utilisateurs de contrôler à distance leurs ordinateurs.
Après s'être connecté, le pirate informatique, qui n'a pas été identifié par les autorités, en a profité pour effacer les programmes que l'usine utilisait pour traiter l'eau potable. Cette incursion n'a été découverte que le lendemain, mais les noms d’usagers et mots de passe ont été modifiés et les logiciels d’opération ont ensuite été réinstallés.
Plus de peur que de mal diront certains, mais cet épisode fait partie des menaces de plus en plus manifestes de l’intention malveillante de cyberpirates contre des infrastructures vitales américaines.
Le pire scénario, digne d’un film catastrophe de série B, a d’ailleurs failli se matérialiser quelques semaines plus tard, cette fois à Oldsmar, une ville au nord-ouest de Tampa en Floride qui compte environ 15 000 habitants. Un pirate informatique a également eu accès à un compte TeamViewer et a augmenté à distance les niveaux d’hydroxyde de sodium ou soude caustique dans l’eau de l’usine de distribution.
La soude caustique est utilisée pour déboucher des canalisations, comme produit de nettoyage ou comme agent de neutralisation pour augmenter le pH de l’eau. Cette dernière utilisation crée un environnement alcalin qui détruit les agents pathogènes. Dans le cas des services municipaux d’eau, elle sert surtout à contrôler l’acidité. À haute concentration, la soude est très corrosive et peut provoquer une irritation de la peau et des yeux, ainsi qu'une perte temporaire des cheveux.
En ce jour de février 2021, un des opérateurs de l'usine de Olsdmar a vu cette tentative d'accès au système dans la matinée, mais a supposé qu'il s'agissait de son superviseur. Une deuxième tentative a été faite en début d'après-midi et, cette fois, le pirate a accédé au logiciel de traitement et a augmenté la teneur en hydroxyde de sodium de 100 parties par million (ppm) à 11 100 ppm, soit un niveau toxique. Bien vite, l'opérateur a remarqué que la souris de l'ordinateur se déplaçait toute seule et a donc annulé les modifications du pirate informatique en ramenant les niveaux à la normale.
Là encore, aucune arrestation n'a été effectuée et les autorités et enquêteurs ne savent pas si le piratage a été effectué depuis les États-Unis ou à l’extérieur du pays. À aucun moment, il n'y a eu d'effet négatif significatif sur l'eau traitée, avait déclaré à l’époque le shérif du comté de Pinellas, Bob Gualtieri, lors d'une conférence de presse. Surtout, le public n'a jamais été en danger.
Alors que les usines d’infrastructures ont souvent recours à des logiciels de contrôle à distance, les failles de sécurité sont donc potentiellement susceptibles de se produire. Il est difficile de connaître la façon dont les pirates ont accès aux comptes du système TeamViewer, mais les pistes mènent souvent au web clandestin. C’est là que des noms d'utilisateurs et mots de passe pour accéder aux infrastructures y circuleraient pour être vendus.