Vendredi 5 au matin dans la ville d'Oldsmar en Floride, un employé de la station d'épuration des eaux usées remarque une chose curieuse. Comme le relate Wired, le curseur de sa souris semble échapper à son contrôle et se doter d'une vie propre.
Le salarié ne s'inquiète pas. Le système informatique de la station est doté du logiciel TeamViewer, très couramment utilisé et qui permet à son supérieur ou à l'informaticien en charge de l'installation de prendre le contrôle de son poste à distance pour effectuer diverses actions.
Un peu plus tard, rebelote: le curseur se met de nouveau à bouger de son propre chef. Cette fois cependant, il semble savoir ce qu'il veut: la personne qui a pris le pouvoir ouvre le panneau de contrôle de la station, puis tente de porter la teneur en hydroxyde de sodium de l'eau distribuée de 100 à 11.000 ppm.
L'hydroxyde de sodium est également connue sous le nom de soude caustique. À dose infinitésimale, elle permet de contrôler le degré d'acidité de l'eau. À haute dose, elle constitue l'ingrédient principal des puissants déboucheurs de canalisation du commerce, et peut gravement endommager les tissus humains avec lesquels elle entre en contact.
Bien heureusement, l'opérateur s'est immédiatement aperçu de la manœuvre et a pu remettre le NaOH à un niveau normal, avant d'alerter sa hiérarchie et les forces de l'ordre –le FBI et le Secret Service ont été requis pour enquêter sur l'affaire.
L'empoisonnement n'aurait pas été immédiat: il aurait fallu, explique Wired, entre 24 et 36 heures avant que l'eau souillée n'atteigne les habitants et habitantes de la ville, et des analyses automatisées auraient sans doute détecté le problème.
Le shérif du comté, Bob Gualtieri, n'a pas donné de plus ample détail sur la manière dont le hacker ou la hackeuse a pu avoir accès au système informatique de la station d'Oldsmar. La norme veut qu'un tel le système de gestion industrielle soit déconnecté de tout réseau, pour éviter ce type d'intrusion; cela n'était en l'occurrence, semble-t-il, pas le cas.
Le maire d'Oldsmar a tenu à prévenir publiquement du péril. «Nous souhaitons être bien certains que tout le monde réalise à quel type d'acteurs dangereux nous avons affaire, a-t-il déclaré lors d'une conférence de presse. C'est réel. Tout le monde devrait donc regarder de très près l'état de ses systèmes.»
Des vulnérabilités partout
Et pour cause. Interrogée par Wired, une analyste de la firme de cybersécurité Dragos, Lesley Carhart, explique que si une telle attaque sur un réseau d'assainissement de l'eau pourrait constituer une première, la manière dont elle a été menée n'a, elle, rien d'exceptionnelle.
Selon elle, des milliers de systèmes comme celui de la station d'épuration d'Oldsmar peuvent être découverts sur Internet, notamment grâce à des outils de recherche comme Shodan.
Elle a pu constater nombre de ces intrusions, que seules d'ultimes barrières sécuritaires, comme les tests automatisés du PH de l'eau dans le cas de la ville floridienne, ont empêché d'aller au bout.
Lesley Carhart ajoute que les stations d'épuration sont souvent, aux États-Unis, mais c'est sans doute vrai ailleurs dans le monde, les parents pauvres de la cybersécurité des infrastructures industrielles ou collectives.
«Ils font ce qu'ils ont à faire pour que l'eau continue à s'écouler et que les eaux usées continuent à être traitées, explique l'experte. S'ils n'ont pas les ressources pour à la fois faire cela et s'occuper de cybersécurité, que peuvent-ils faire? Ils maintiennent les processus, ils permettent à la société de continuer à fonctionner.»
Jusqu'au moment où, faute de moyens, elle ne saura empêcher des acteurs crapuleux d'aller jusqu'au bout de leurs plans machiavéliques.
