•  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Des usines américaines d’eau potable encore très vulnérables aux cyberattaques

Ces installations ont souvent recours à des logiciels de contrôle à distance, ce qui expose des failles de sécurité, selon des experts.

Une valve et une conduite d'eau

Avec la multiplication des cyberattaques contre les services publics de distribution d'eau potable, des scénarios catastrophes sont presque devenus réalité.

Photo : Getty Images / Justin Sullivan

Les États-Unis, très ciblés par des cyberattaques, semblent avoir négligé jusqu’ici les systèmes les plus vulnérables que sont les infrastructures d’eau potable.

Le 15 janvier 2021, un pirate informatique a réussi à entrer dans le système de gestion d’une usine municipale de distribution de l'eau qui desservait certains coins de la baie de San Francisco. Un piratage assez facile puisqu’il avait le nom d'utilisateur et le mot de passe du compte TeamViewer d'un ancien employé et a pu ainsi accéder au système, grâce à ce programme qui permet aux utilisateurs de contrôler à distance leurs ordinateurs.

Après s'être connecté, le pirate informatique, qui n'a pas été identifié par les autorités, en a profité pour effacer les programmes que l'usine utilisait pour traiter l'eau potable. Cette incursion n'a été découverte que le lendemain, mais les noms d’usagers et mots de passe ont été modifiés et les logiciels d’opération ont ensuite été réinstallés.

Plus de peur que de mal, diront certains, mais cet épisode fait partie des menaces de plus en plus manifestes de l’intention malveillante de cyberpirates contre des infrastructures vitales américaines.

Un scénario catastrophe presque devenu réalité

Le pire scénario, digne d’un film catastrophe de série B, a d’ailleurs failli se matérialiser quelques semaines plus tard, cette fois à Oldsmar, une ville au nord-ouest de Tampa en Floride qui compte environ 15 000 habitants. Un pirate informatique a également eu accès à un compte TeamViewer et a augmenté à distance les niveaux d’hydroxyde de sodium ou soude caustique dans l’eau de l’usine de distribution.

Une personne travaille sur un ordinateur portable.

Aucune arrestation n'a été effectuée et les autorités et enquêteurs ne savent pas si les piratages d'infrastructures de distribution de l'eau ont été effectués depuis les États-Unis ou de l’extérieur du pays.

Photo : Getty Images / AFP/SEM VAN DER WAL

La soude caustique est utilisée pour déboucher des canalisations, comme produit de nettoyage ou comme agent de neutralisation pour augmenter le pH de l’eau. Cette dernière utilisation crée un environnement alcalin qui détruit les agents pathogènes. Dans le cas des services municipaux d’eau, elle sert surtout à contrôler l’acidité. À haute concentration, la soude est très corrosive et peut provoquer une irritation de la peau et des yeux, ainsi qu'une perte temporaire des cheveux.

En ce jour de février 2021, un des opérateurs de l'usine d'Olsdmar a vu cette tentative d'accès au système dans la matinée, mais a supposé qu'il s'agissait de son superviseur. Une deuxième tentative a été faite en début d'après-midi et, cette fois, le pirate a accédé au logiciel de traitement et a augmenté la teneur en hydroxyde de sodium de 100 parties par million (ppm) à 11 100 ppm, soit un niveau toxique.

Bien vite, l'opérateur a remarqué que la souris de l'ordinateur se déplaçait toute seule et a donc annulé les modifications du pirate informatique en ramenant les niveaux à la normale.

Des pirates qui courent toujours

Là encore, aucune arrestation n'a été effectuée et les autorités et enquêteurs ne savent pas si le piratage a été effectué depuis les États-Unis ou de l’extérieur du pays. À aucun moment, il n'y a eu d'effet négatif significatif sur l'eau traitée, avait déclaré à l’époque le shérif du comté de Pinellas, Bob Gualtieri, lors d'une conférence de presse. Surtout, le public n'a jamais été en danger.

Alors que les usines d’infrastructures ont souvent recours à des logiciels de contrôle à distance, les failles de sécurité sont possiblement susceptibles de se produire. Il est difficile de connaître la façon dont les pirates ont accès aux comptes du système TeamViewer, mais les pistes mènent souvent au web clandestin. C’est là que des noms d'utilisateurs et mots de passe pour accéder aux infrastructures y circuleraient pour être vendus.

Quelle est l’ampleur du risque?

Les infrastructures de traitement de l’eau potable sont à la fois très vulnérables et difficiles à contrôler par des pirates. Vulnérables, parce que sur plus de 150 000 usines américaines, une bonne partie, sont situées dans des localités rurales qui ne possèdent pas vraiment de budget excédentaire pour assurer une surveillance constante des cyberattaques des systèmes en place. Ce serait le cas parmi la majorité des 55 000 usines d'eau gérées par les communautés locales. Des usines qui fournissent de l'eau à plus de 286 millions de personnes toute l'année.

Portrait de Gus Serino

Selon Gus Serino, de la compagnie Dragos, le gouvernement des États-Unis a heureusement fait de la cybersécurité dans les infrastructures de distribution de l'eau une priorité.

Photo : Gracieuseté : Gus Serino

Concernant l’industrie de l’eau, c'est en grande partie non réglementé, explique Gus Serino, chasseur de menaces pour Dragos, une entreprise spécialisée en cybersécurité. De nombreux services publics d'eau manquent de ressources et n'ont pas vraiment les réglementations, les exigences pour sécuriser les systèmes. C'est donc un vrai problème.

Ces petits services publics d'eau n'ont en effet souvent pas leur propre personnel informatique ou de cybersécurité. La plupart du temps, ces usines sont gérées par une poignée d’employés qui ne sont pas forcément rompus à la surveillance des cyberattaques.

Par contre, le risque d’une attaque concertée qui toucherait plusieurs usines est aussi atténué, car chaque installation fonctionne de manière indépendante. En d’autres termes, l’absence de centralisation des opérations empêche des empoisonnements massifs de l’eau à distance par des pirates.

Cela est à la fois une bénédiction, mais aussi une malédiction, puisque cela signifie qu’il est encore plus complexe d’appliquer une seule et même solution de protection des systèmes pour ces 50 000 petites usines et plus de traitement des eaux.

Des rapports de cyberattaques en dilettante

Selon les experts, peu de rapports publics rapportent ces pannes. Impossible de savoir si ces piratages sont devenus plus courants ou simplement plus visibles, car il n'y a malheureusement pas de recensement fédéral complet de la sécurité des usines de traitement de l'eau.

Pire encore, les petites installations d'eau rurales auraient même tendance à hésiter à partager leurs vulnérabilités. Un aveu troublant de la part de Daryn Martin, assistant technique à la Kansas Rural Water Association, une organisation commerciale pour environ 800 installations de traitement de l'eau du Kansas. Interviewé par NBC, il admettait qu’en général, ils ne rendent pas compte au gouvernement fédéral. Il y a une certaine méfiance, vous savez, dans les petites villes du Midwest américain. Rien pour rassurer sur la sécurité et l’amélioration possible de celle-ci.

Une main s'apprête à ouvrir un robinet.

La plus part du temps, les usines de distribution de l'eau aux États-Unis sont gérées par une poignée d’employés qui ne sont pas forcément familiarisés à la surveillance contre les cyberattaques.

Photo : Getty Images / Sarah Rice

Rien pour étonner Gus Serino. Naturellement, les services publics essaient d'éviter de faire la une des journaux. Souvent, honnêtement, ils ne savent pas quoi faire. Ils n'ont pas de solution puisqu’ils n’ont jamais été confrontés à ce genre de problème.

Un remède nécessaire

L'Agence pour la protection de l'environnement des États-Unis (EPA) a soumis en août au Congrès son plan pour assurer la sécurité de l'eau. L’agence est censée proposer et déployer de nouvelles règles qui forceraient les autorités locales à inclure dorénavant la vérification des failles de cybersécurité dans leurs rapports d’inspection.

Il y a beaucoup de débats sur la question de savoir si l'EPA doit le faire ou si la mission doit être confiée à une autre organisation, mais il y a beaucoup d'efforts pour essayer de résoudre ce problème, souligne Gus Serino.

Et le fait que le Congrès américain se penche enfin sur la question est plutôt encourageant, selon lui. Je pense que c'est devenu une priorité, récemment. Depuis 2018, grâce à l'American Water Infrastructure Act, il est exigé dans les installations de distributions d’eau que soit faite une évaluation ainsi qu’un plan de réponse aux incidents.

Le temps presse

En attendant, l'Agence de cybersécurité et de sécurité des infrastructures (CISA), la principale agence de défense de la cybersécurité du gouvernement fédéral, est chargée d'aider à sécuriser les infrastructures du pays, y compris l'eau.

Toutefois, elle ne réglemente pas le secteur et se limite en grande partie à conseiller et assister les organisations qui en font la demande. D’ailleurs, de l’aveu même de l’agence, seule une infime partie des installations d'eau du pays choisissent d'utiliser ses services. Elles ne seraient que plusieurs centaines sur les 55 000 du pays à le faire.

Page couverture d'un rapport

L'Agence américaine de protection de l'environnement a envoyé au Congrès son rapport sur la cybersécurité dans les infrastructures de distribution de l'eau.

Photo : Capture d'écran

Gus Serino estime que le temps presse, car certaines attaques sous forme de rançongiciels continuent de déstabiliser les infrastructures de distribution de l’eau. Ces attaques détournent les systèmes informatiques et les retiennent en otage jusqu'à ce que leurs victimes paient une rançon.

Au cours des dernières années, les systèmes de distribution d'eau de Jacksonville, en Caroline du Nord, et de Fort Collins, au Colorado, par exemple ont été victimes de ce type d'attaques.

Implanter des solutions à l’échelle du pays est plus que jamais essentiel, mais demeure tout un défi pour les autorités américaines. Avant que des budgets soient débloqués par le Congrès pour former et équiper les employés des services publics d’eau dans les plus petites communautés, le risque d’attaques sérieuses demeure. Gus Serino croit que cela devrait prendre encore un an avant que la machine gouvernementale fédérale américaine produise des résultats.

Vos commentaires

Veuillez noter que Radio-Canada ne cautionne pas les opinions exprimées. Vos commentaires seront modérés, et publiés s’ils respectent la nétiquette. Bonne discussion !