• L’eau, nouvelle frontière de la cybersécurité ?

    On évoque de plus en plus les risques potentiels de cyberattaques ciblant les infrastructures de l’eau : barrages, usines de traitement, etc. Quelle est la réalité de cette menace ?
    Pendant environ trois semaines en août et septembre 2013, un hacker iranien appelé Hamid Firoozi a réussi à pénétrer dans le système informatique gérant le barrage de Bowman, dans la petite ville américaine de Rye, à une cinquantaine de kilomètres de New York. Selon la justice américaine, Hamid Faroozi est employé par une firme informatique iranienne proche des Gardiens de la Révolution. Il aurait été impliqué dans de nombreuses attaques visant des grandes entreprises américaines. En l’occurrence, il aurait réussi à prendre connaissance de nombreuses informations relatives au barrage et à son eau, y compris l’état des vannes contrôlant les lâchers d’eau, mais non à actionner ces vannes à distance (peut-être seulement parce que cette fonctionnalité était déconnectée durant cette période). Le barrage de Bowman est de toute façon un ouvrage de très faible importance, dont l’objectif principal est de réguler le débit de la rivière locale et de prévenir les inondations ; on ne sait pas pourquoi il a été ciblé en particulier. Peut-être s’agit-il d’une confusion avec un autre barrage du même nom, à l’autre bout du pays, de bien plus grande envergure mais qui sert essentiellement à l’irrigation. En tout état de cause, l’administration américaine a initié des poursuites criminelles en mars 2016.
    Avec toutes ses zones d’ombre, c’est à ce jour le seul exemple connu de « piratage » d’une infrastructure de l’eau par un hacker soupçonné d’agir pour le compte d’un gouvernement. Mais en tant que tel, il peut susciter des inquiétudes. Que se passerait-il si une puissance étrangère prenait le contrôle d’un barrage à distance, et décidait de provoquer un déversement d’eau massif en aval ? Ou encore si elle manipulait une centrale de potabilisation pour envoyer dans un réseau urbain une eau impropre à la consommation ? Ne dit-on pas déjà que les guerres du futur se dérouleront-elles d’abord dans le cyberespace ? L’enjeu, de nature technique et mal connu du commun des mortels, est de nature à susciter beaucoup de fantasmes et de craintes injustifiées. Et certains consultants informatiques, pour des raisons plus ou moins intéressées, ne se privent pas d’entretenir les peurs, malgré le nombre relativement faibles de cas avérés à ce jour.

    Une vulnérabilité accrue

    Un fait est clair : les infrastructures de l’eau – barrages hydrauliques, systèmes d’irrigation, réseaux urbains, usines de potabilisation ou de traitement des eaux usées – fonctionnent de plus en plus sur la base de systèmes informatiques sophistiqués, ce qui les rend potentiellement vulnérables à des « cyberattaques ». En outre, on observe une tendance récente au sein des entreprises de l’eau, pour des raisons d’économies et de réduction des coûts, à connecter leurs systèmes opérationnels à l’internet, pour pouvoir effectuer une partie des opérations de contrôle et de maintenance à distance. Mais l’utilisation accrue de ces systèmes à distance a pour effet d’ouvrir davantage les systèmes opérationnels des réseaux ou des usines à des intrusions extérieures, particulièrement si les mesures de sécurité nécessaires – firewalls, cryptage, mots de passe sécurisés… – ne sont pas en place. Dans la plupart des cas, en raison des faibles barrières de sécurité entre les systèmes, il suffit d’une défaillance humaine anodine – comme le fait pour un employé d’ouvrir une pièce jointe infectée dans son logiciel de courrier électronique – pour ouvrir une brèche dans tout le système.
    Le secteur de l’eau n’est évidemment pas le seul exposé à ces risques. Celui des réseaux électriques est sans doute encore plus directement concerné, comme l’ont montré les coupures d’électricité de grande ampleur qu’a connu l’Ukraine durant la période de Noël 2015. Les trois firmes assurant la distribution d’électricité dans le pays ont été touchées par une attaque coordonnée apparemment soigneusement préparée, qui a permis aux pirates, en raison de problème de sécurisation de leurs systèmes informatiques, de saboter le réseau.

    L’ampleur réelle des menaces difficile à appréhender

    L’enjeu de la cybersécurité est d’autant plus délicat à appréhender que ce sont souvent des entreprises ou des cabinets de consultance intéressés à vendre leurs conseils ou leurs solutions technologiques qui cherchent à alerter les pouvoirs publics sur les dangers potentiels, et qu’ils sont susceptibles d’exagérer l’ampleur ou la nature des menaces.
    C’est ainsi qu’il y a quelques années, l’entreprise de solutions de sécurité informatique McAfee, filiale d’Intel, s’est associée plusieurs années de suite à un think tank américain, le Center for Strategic and International Studies (CSIS), pour alerter les décideurs américains sur les dangers de la cybercriminalité en général pour les « infrastructures critiques » et pour le secteur de l’eau en particulier. Ces rapports (voir par exemple ici) sont basés sur des questionnaires envoyés aux entreprises concernés et concluent à une augmentation des « attaques » (une notion conçue de manière assez vague et extensive) et à l’insuffisance des moyens mis en œuvre par les entreprises pour s’en prémunir ainsi que de l’assistance des gouvernements…
    Selon McAfee et le CSIS, ces « attaques » sont souvent des tentatives d’extorsion plutôt que des actions émanant de pays tiers et visant simplement à nuire. Des nombreux services d’eau américains déclarent avoir été victimes de « ransomware », une attaque consistant à prendre le contrôle et bloquer les systèmes informatiques d’un opérateur et à lui demander une « rançon » pour les débloquer, généralement payable en bitcoins. Ce type d’attaques est relativement facile à contourner en redémarrant les systèmes informatiques.
    Récemment, c’est l’entreprise Booz Allen Hamilton, un consultant du gouvernement américain spécialisé dans le renseignement et la sécurité (l’ancien employeur du lanceur d’alerte Edward Snowden), qui publiait un rapport alarmistesur la menace que feraient peser les hackers russes, chinois, iraniens ou nord-coréens sur les infrastructures critiques des États-Unis.
    Selon les informations collectées par l’Industrial Control Systems Cyber Emergency Response Team (ICS-CERT), structure mise en place par le Département américain de la sécurité intérieure pour lutter contre les cyberattaques contre les systèmes de contrôle industriels, le nombre d’attaques signalées a augmenté en 2015 par rapport à 2014, passant de 245 à 295 (elles étaient déjà 257 en 2013). En 2010, seulement 39 attaques avaient été signalées, mais l’augmentation reflète sans doute aussi la plus grande notoriété de l’ICS-CERT. Seules 12% de ces attaques ont réussi à aller au-delà du réseau local des entreprises ciblées et à pénétrer dans les systèmes de contrôle industriel. L’industrie de l’eau américaine a mis en place des programmes et des standards pour améliorer la sécurité informatique des services de l’eau, mais le grand nombre de ces derniers sur le territoire des États-Unis rend la tâche ardue.
    Au final aucune attaque visant à détruire ou manipuler à des fins agressives une infrastructure de l’eau n’a été répertoriée à ce jour aux États-Unis (ou ailleurs). La question est : quel est le risque que cela arrive un jour ?
    Olivier Petitjean
    — 
    Photo : Christiaan Colen CC
  • You might also like