Yohan Demeure, expert géographe
Une société spécialisée dans le traitement de l’eau a été hackée, ce qui a conduit à la modification des adjuvants chimiques ajoutés dans l’eau potable remise en circulation. Une société mandatée pour identifier le problème a soulevé un nombre impressionnant d’éléments permettant d’assurer que les hackers ont pu s’introduire dans le système avec une facilité déconcertante.
La société victime de l’attaque a été nommée Kemuri Water Company (KWC), une fausse appellation destinée à ne pas compromettre la réelle entreprise (dont nous n’avons pas la localisation précise) ayant subi la foudre des hackers. Cette société a fait appel à une seconde société connue sous le nom de Verizon Wireless, une importante entreprise de télécommunications américaine basée dans le New Jersey, et ce dans le but d’élaborer un diagnostic du réseau chargé des réglages du système de contrôle des adjuvants chimiques ajoutés à l’eau potable.
« Pour tout dire, KWC était un candidat tout trouvé pour une fuite de données. Son interface Internet présentait plusieurs failles à haut risque dont on sait qu’elles sont souvent exploitées » indiquait un rapport de 84 pages édité par la société Verizon.
L’équipe RISK de la société Verizon, dont la spécialité est l’évaluation et la prévention des cyber-risques, a mis en lumière le fait que les ordinateurs présents chez KWC fonctionnaient sous d’anciens systèmes d’exploitation non mis à jour, dont certains depuis plus d’une dizaine d’années. Les failles de sécurité ont représenté une proie idéale pour les experts en piratage.
L’intégralité du réseau interne de KWC tournait autour d’un seul un mini-ordinateur de la gamme IBM : un AS400 (Application System/400), lui-même lié à Internet par le biais du système SCADA (Supervisory Control and Data Acquisition), un système de télégestion à grande échelle qui permettait aux clients d’avoir des informations sur leur consommation et le coût de l’eau, ou encore d’effectuer des paiements via des applications dédiées.
Les hackers ont donc pu, d’après le rapport de la société Verizon, pénétrer dans le système de KWC par le biais d’une des applications de paiement en ligne, dans le but de dérober les informations sensibles des clients, leur but initial. Ils ont également pu pénétrer dans le serveur et accéder à l’AS400, passer à travers le système SCADA et modifier les paramètres du système de contrôle des adjuvants chimiques ajoutés à l’eau potable.
Le pire reste à venir : les responsables de KWC se doutaient de la vulnérabilité de leur système et des potentielles attaques qui se seraient déjà produites. En effet, des mouvements de valves et de tuyauterie douteux avaient été repérés et des modifications inexpliquées de dosage des produits insérés dans l’eau (pour la rendre potable) avaient été constatées. Ce petit manège aurait duré pendant plus de deux mois.
Il semblerait que les hackers n’avaient pas l’intention de nuire intensément, du moins au niveau de l’eau potable, puisque selon Verizon, outre les fonctions relatives au traitement chimique de l’eau, ils auraient pu modifier de façon dramatique le débit de l’eau potable et le temps de remplissage des réserves.
« Si les attaquants avaient eu un peu plus de temps et avaient été un peu plus familiers du système de contrôle industriel, la KWC et les populations locales auraient pu subir de sérieux dommages », supposait le rapport de la société Verizon.
Sources : Sciences et Avenir — Club des développeurs et IT pro
