Les histoires sur la sécurité informatique ont tendance à devenir virales lorsqu’elles comblent le vaste fossé entre les geeks et les luddites, et les nouvelles de cette semaine sur un pirate informatique qui a tenté d’empoisonner l’approvisionnement en eau d’une ville de Floride faisaient naturellement la une des journaux. Mais pour les nerds de la sécurité qui mettent en garde contre ce genre de chose depuis des lustres, l’aspect le plus surprenant de l’incident semble être que nous en ayons entendu parler.
Passez quelques minutes à chercher sur Twitter, Reddit ou un certain nombre d’autres sites de médias sociaux et vous trouverez d’innombrables exemples de chercheurs affichant la preuve de leur capacité d’accéder à ce que l’on appelle des «interfaces homme-machine» – essentiellement des pages Web conçues pour interagir à distance avec divers systèmes complexes, tels que ceux qui surveillent et / ou contrôlent des éléments tels que l’électricité, l’eau, les égouts et les usines de fabrication.
Et pourtant, il y a eu très peu d’incidents connus de pirates malveillants abusant de cet accès pour perturber ces systèmes complexes. C’est-à-dire jusqu’à ce lundi dernier, lorsque le shérif du comté de Floride Bob Gualtieri a tenu une conférence de presse remarquablement lucide et factuelle sur une tentative d’empoisonnement de l’approvisionnement en eau d’Oldsmar, une ville d’environ 15 000 habitants non loin de Tampa.
Gualtieri a déclaré aux médias que quelqu’un (ils ne savent pas encore qui) avait accédé à distance à un ordinateur du système de traitement de l’eau de la ville (en utilisant Teamviewer) et avait brièvement augmenté la quantité d’hydroxyde de sodium (alias lessive utilisée pour contrôler l’acidité de l’eau) à 100 fois le niveau normal.
«L’approvisionnement en eau de la ville n’a pas été affecté», a rapporté le Tampa Bay Times. «Un superviseur travaillant à distance a vu la concentration changer sur son écran d’ordinateur et l’a immédiatement annulée, a déclaré Gualtieri. Les responsables de la ville ont souligné lundi que plusieurs autres mesures de protection étaient en place pour empêcher l’eau contaminée de pénétrer dans l’approvisionnement en eau et ont déclaré avoir désactivé le système d’accès à distance utilisé lors de l’attaque.
En bref, un intrus probablement inexpérimenté a appris d’une manière ou d’une autre les informations d’identification nécessaires pour accéder à distance au système d’eau d’Oldsmar, n’a pas fait grand-chose pour cacher son activité, puis a essayé de modifier les paramètres avec une marge si large que les modifications seraient difficiles à ignorer.
« Le système n’était pas capable de faire ce que l’attaquant voulait », a déclaré Joe Weiss, associé gérant chez Solutions de contrôle appliquées, une société de conseil pour l’industrie des systèmes de contrôle. «Le système ne peut pas être multiplié par 100 car il y a certains problèmes de physique impliqués. De plus, les changements qu’il essayait de faire ne se produiraient pas instantanément. Les opérateurs auraient eu amplement le temps de faire quelque chose. »
Weiss n’était que l’un d’une demi-douzaine d’experts imprégnés des aspects de cybersécurité des systèmes de contrôle industriels avec lesquels KrebsOnSecurity s’est entretenu cette semaine. Alors que toutes les personnes interrogées ont fait écho à la conclusion de Weiss, la plupart ont également déclaré qu’elles étaient préoccupées par les perspectives d’un adversaire plus avancé.
Voici quelques-uns des points à retenir de ces entretiens:
- Il existe environ 54 000 réseaux d’eau potable distincts aux États-Unis.
- La grande majorité de ces réseaux desservent moins de 50 000 résidents, dont beaucoup ne desservent que quelques centaines ou milliers.
- Pratiquement tous dépendent d’un certain type d’accès à distance pour surveiller et / ou administrer ces installations.
- Beaucoup de ces installations sont sans surveillance, sous-financées et personne ne surveille les opérations informatiques 24h / 24 et 7j / 7.
- De nombreuses installations n’ont pas séparé la technologie opérationnelle (les bits qui contrôlent les commutateurs et les leviers) des systèmes de sécurité qui pourraient détecter et alerter en cas d’intrusions ou de changements potentiellement dangereux.
Alors, étant donné la facilité avec laquelle il est de rechercher sur le Web et de trouver des moyens d’interagir à distance avec ces systèmes IHM, pourquoi n’y a-t-il pas plus d’incidents comme celui d’Oldsmar qui font l’actualité? Une des raisons peut être que ces établissements n’ont pas à divulguer de tels événements lorsqu’ils se produisent.
PAS DE NOUVELLES, BONNES NOUVELLES?
La seule loi fédérale qui s’applique à la cybersécurité des installations de traitement de l’eau aux États-Unis est la loi américaine de 2018 sur l’infrastructure de l’eau, qui exige que les systèmes d’eau desservant plus de 3300 personnes «développent ou mettent à jour des évaluations des risques et des plans d’intervention d’urgence».
Il n’y a rien dans la loi qui oblige ces installations à signaler les incidents de cybersécurité, comme celui qui s’est produit à Oldsmar le week-end dernier.
«Il est difficile d’amener les organisations à signaler les incidents de cybersécurité», a déclaré Michael Arceneaux, directeur général de l’Eau ISAC, un groupe industriel qui essaie de faciliter le partage d’informations et l’adoption des meilleures pratiques entre les services publics du secteur de l’eau. Les 450 membres de l’ISAC sur l’eau servent environ 200 millions d’Américains, mais ses membres représentent moins d’un pour cent de l’ensemble de l’industrie des services d’eau.
«Certains services publics ont peur que si leurs vulnérabilités sont partagées, les pirates informatiques aient des connaissances internes sur la façon de les pirater», a déclaré Arceneaux. «Les services publics hésitent plutôt à mettre ces informations dans un domaine public ou à les conserver dans une base de données qui pourrait devenir publique.»
Weiss a déclaré que les agences fédérales étaient également réticentes à discuter de tels incidents.
« La seule raison pour laquelle nous connaissions cet incident en Floride était que le shérif a décidé de tenir une conférence de presse », a déclaré Weiss. «Le FBI, Department of Homeland Security, aucun d’entre eux ne veut parler de ça publiquement. Le partage d’informations est interrompu. »
À titre d’exemple, Weiss a déclaré qu’il n’y a pas longtemps, il a été contacté par un défenseur public fédéral représentant un client qui avait été reconnu coupable de piratage dans un réseau d’eau potable. L’avocat a refusé de partager le nom de son client ou de divulguer de nombreux détails sur l’affaire. Mais il voulait savoir si Weiss serait prêt à servir de témoin expert qui pourrait aider à rendre les actions d’un client moins effrayantes pour un juge au moment de la détermination de la peine.
«Il défendait cette personne qui avait piraté un système d’eau potable et s’était rendu jusqu’aux pompes et aux systèmes de contrôle», se souvient Weiss. «Il a dit que son client n’était dans le système que depuis environ une heure, et il voulait savoir combien de dégâts son client aurait pu vraiment faire en si peu de temps. Il essayait d’obtenir une peine plus clémente pour le gars.
Weiss a déclaré qu’il avait tenté d’obtenir plus d’informations sur l’accusé, mais il soupçonne que les détails de l’affaire ont été scellés.
Andrew Hildick-Smith est un consultant qui a travaillé pendant près de 20 ans dans la gestion de systèmes d’accès à distance pour la Massachusetts Water Resources Authority. Hildick-Smith a déclaré que son expérience de travail avec de nombreux petits services d’eau a fait ressortir la réalité que la plupart sont gravement sous-dotés en personnel et sous-financés.
«Une bonne partie des petits services d’eau dépendent de l’informatique de leur communauté ou de leur ville pour les aider avec des choses», a-t-il déclaré. «Lorsque vous dirigez un service d’eau, il y a tellement de choses à prendre en compte pour que tout fonctionne qu’il n’y a pas vraiment assez de temps pour améliorer ce que vous avez. Cela peut se propager du côté de l’accès à distance, et il se peut qu’ils ne disposent pas d’un informaticien capable de déterminer s’il existe une meilleure façon de faire les choses, comme la sécurisation de l’accès à distance et la configuration de choses comme l’authentification à deux facteurs. »
Hildick-Smith a déclaré que la plupart des incidents de cybersécurité dont il a connaissance concernant des installations d’eau relèvent de deux catégories. Les plus courants sont les compromis où les systèmes affectés étaient des dommages collatéraux dus à des intrusions plus opportunistes.
«Il y a eu un tas de fois où les systèmes d’eau ont vu leur système de contrôle brisé, mais c’est le plus souvent un peu par hasard, ce qui signifie que celui qui le faisait a utilisé l’ordinateur pour configurer des transactions financières, ou c’était un ordinateur de commodité , ”Hildick-Smith siad. « Mais les attaques qui impliquaient l’étape consistant à manipuler réellement les choses sont une liste assez courte. »
L’autre raison, de plus en plus courante, a-t-il déclaré, est bien sûr les attaques de ransomwares du côté commercial des services d’eau.
« Séparé du genre de personnes qui errent dans un système SCADA par erreur du côté de l’eau, il y a un tas d’attaques de ransomwares contre le côté commercial des systèmes d’eau », a-t-il déclaré. « Mais même dans ce cas, vous n’entendez généralement pas les détails de l’attaque. »
Hildick-Smith a rappelé un incident récent dans un assez grand service d’eau qui a été touché par la souche de ransomware Egregor.
«Les choses ont fonctionné en interne pour eux, et ils n’avaient pas besoin d’en parler au monde extérieur ou à la presse», a-t-il déclaré. «Ils ont pris contact avec le Water ISAC et le FBI, mais ce n’est certainement pas devenu un événement de presse, et les leçons qu’ils ont apprises n’ont pas pu être partagées avec les gens.
UN DÉFI INTERNATIONAL
La situation n’est pas différente en Europe et ailleurs, déclare Marcin Dudek, chercheur en sécurité des systèmes de contrôle au CERT Polska, l’équipe d’intervention en cas d’urgence informatique qui gère le signalement des cyberincidents en Pologne.
Marcin a déclaré que si les installations d’eau n’ont pas été une cible majeure des pirates informatiques à but lucratif, c’est probablement parce que la plupart de ces organisations ont très peu de valeur à voler et généralement pas de ressources pour payer les extorqueurs.
«La partie accès est assez facile», dit-il. «Il n’y a aucune analyse de rentabilité pour pirater ces types de systèmes. Ils ont rarement un VPN approprié [virtual private network] pour une connexion à distance sécurisée. Je pense que c’est parce qu’il n’y a pas assez de sensibilisation aux problèmes de cybersécurité, mais aussi parce qu’ils ne sont pas suffisamment financés. Cela ne vaut pas seulement pour les États-Unis. C’est très similaire ici en Pologne et dans différents pays également.
De nombreux professionnels de la sécurité ont sonné sur les réseaux sociaux en disant que les services publics n’ont aucune activité reposant sur des outils d’accès à distance comme Teamviewer, qui par défaut permet un contrôle complet sur le système hôte et est protégé par un simple mot de passe.
Mais Marcin dit que Teamviewer serait en fait une amélioration par rapport aux types de systèmes d’accès à distance qu’il trouve couramment dans ses propres recherches, qui impliquent des systèmes IHM conçus pour être utilisés via un site Web accessible au public.
«J’ai vu de nombreux cas où l’IHM était directement disponible à partir d’une page Web, où il vous suffit de vous connecter et de modifier certains paramètres», a déclaré Marcin. «C’est particulièrement grave car les pages Web peuvent avoir des vulnérabilités, et ces vulnérabilités peuvent donner à l’attaquant un accès complet au panneau.»
Selon Marcin, les services publics ont généralement plusieurs systèmes de sécurité et, dans un environnement idéal, ceux-ci sont séparés des systèmes de contrôle de sorte qu’un compromis de l’un ne se répercute pas sur l’autre.
«En réalité, ce n’est pas si facile d’introduire des toxines dans le traitement de l’eau pour que les gens tombent malades, ce n’est pas aussi facile que certains le disent», dit-il. Pourtant, il s’inquiète pour des attaquants plus avancés, tels que ceux responsables de multiples incidents l’année dernière au cours desquels des attaquants ont eu accès à certains des systèmes de traitement de l’eau d’Israël et ont essayé de modifier les niveaux de chlore de l’eau avant d’être détectés et arrêtés.
«L’accès à distance est quelque chose que nous ne pouvons pas éviter aujourd’hui», a déclaré Marcin. «La plupart des installations sont sans pilote. S’il s’agit d’une très petite usine de traitement des eaux ou des eaux usées, il n’y aura personne à l’intérieur et ils se connectent simplement chaque fois qu’ils ont besoin de changer quelque chose.
TEMPS D’AUTO-ÉVALUTION
De nombreux petits systèmes de traitement de l’eau pourraient bientôt réévaluer leur approche pour sécuriser l’accès à distance. Ou du moins c’est l’espoir du Water Infrastructure Act de 2018, qui donne aux services publics desservant moins de 50000 résidents jusqu’à fin juin 2021 la possibilité de réaliser une évaluation des risques de cybersécurité et de la résilience.
«La grande majorité de ces services publics n’ont pas encore vraiment réfléchi à leur position en termes de cybersécurité», a déclaré Hildick-Smith.
Le seul problème avec ce processus est qu’il n’y a aucune conséquence pour les services publics qui ne parviennent pas à terminer leurs évaluations dans ce délai.
Hildick-Smith a déclaré que bien que les systèmes d’eau soient tenus de rapporter périodiquement des données sur la qualité de l’eau à l’Agence américaine de protection de l’environnement (EPA), l’agence n’a pas de véritable autorité pour appliquer les évaluations de cybersécurité.
«L’EPA a fait une sorte de vagues menaces, mais ils n’ont aucune capacité d’application ici», a-t-il déclaré. «La plupart des réseaux d’eau vont attendre la clôture de la date limite, puis embaucher quelqu’un pour le faire à leur place. D’autres vont probablement s’auto-certifier, lever la main et dire: ‘Ouais, nous sommes bons.’ »
Mots clés: Andrew Hildick-Smith, Applied Control Solutions, Bob Gualtieri, CERT Polska, Environmental Protection Agency, Florida water hack, Joe Weiss, Marcin Dudek, Teamviewer, Water ISAC
- MONCANAPE.COM Chloé Canapés fixes Velours "easy clean" qui se nettoie à l'eau, 100% polyester (Ce velours dit : "hôtelier" est utilisé en hôtellerie et dans les palaces, gage de très grande qualité et simplicité d'entretien)
- MONCANAPE.COM Ellie love seat Canapés fixes Velours "easy clean" qui se nettoie à l'eau, 100% polyester (Ce velours dit : "hôtelier" est utilisé en hôtellerie et dans les palaces, gage de très grande qualité et simplicité d'ent
- MONCANAPE.COM Ellie Canapés fixes Velours "easy clean" qui se nettoie à l'eau, 100% polyester (Ce velours dit : "hôtelier" est utilisé en hôtellerie et dans les palaces, gage de très grande qualité et simplicité d'entretien)