Fin avril, la Direction nationale des cyberattaques d'Israël est informée à plusieurs reprise d'une tentative de cyberattaque « majeure » contre l'infrastructure en eau du pays. Selon un communiqué publié par la direction, « de multiples assauts ont ciblé les systèmes de contrôle et de commande des stations d'épuration des eaux usées, des stations de pompage et des égouts ». La direction a appelé les compagnies des eaux à changer leurs mots de passe Internet, à s'assurer que le logiciel de leur système de contrôle était à jour et à prendre d'autres mesures de cyber-hygiène pour renforcer la sécurité. Toujours selon la direction nationale israélienne, les tentatives d'attaques qui semblent avoir été coordonnées, ont échoué. Mais le niveau de chlore dans l'eau était préoccupant. Si bien que la direction a demandé aux compagnies des eaux de rechercher tout signe de dysfonctionnement, en particulier concernant le niveau de chlore dans l'approvisionnement en eau.
La cible de l'attaque pointe vers des acteurs favorables à la création d'un État palestinien indépendant. « Il est fort probable que cette attaque ait été supportée par un état, comme l'Iran par exemple, qui dispose d'une véritable cyber taskforce », a expliqué Matt Lampe, lequel occupait jusqu'à récemment le poste de DSI pour le fournisseur d'énergie Los Angeles Water and Power et qui est désormais associé dans le cabinet conseil en cybersécurité des infrastructures critiques Fortium Partners. Quels que soient les agresseurs, le moment pour ce type d'attaque ne pouvait pas plus mal tomber, alors que le monde est plongé dans une crise sanitaire d'une ampleur inédite. « C'est vraiment regrettable de voir que des acteurs malveillants essayent encore d'infiltrer des infrastructures critiques, même dans cette période de pandémie », a déclaré Maria Bocanegra, commissaire à la Commission du commerce de l'Illinois et vice-présidente du comité de l'eau de la National Association of Regulatory Utility Commissioners.
Profil bas et impact élevé
Même si les cyberattaques ciblant le réseau électrique se taillent la part du lion, les attaques contre les installations d'eau suscitent généralement peu de couverture médiatique ou d'attention du public. Si bien que l'annonce publique de ce type d'attaque par la direction israélienne semble inhabituelle. La grande discrétion des compagnies des eaux en matière de cybersécurité est surprenante étant donné les dommages potentiels que peuvent causer ce type d'attaques contre les installations d'approvisionnement en eau. « L'eau a toujours été le secteur le moins bien doté en ressources alors qu'il a un impact très important sur la vie et la sécurité », a déclaré Lesley Carhart, analyste principale des menaces au sein de l'entreprise de cybersécurité industrielle Dragos.
« Cela fait longtemps que l'on redoutait ce genre d'évènement. Le premier cyber-incident visant une infrastructure critique n'était pas lié à Stuxnet. La cible était une usine de traitement des eaux usées », a-t-elle déclaré, en référence à la cyberattaque menée en 2000 en Australie contre le système de contrôle de Maroochy Shire dans le Queensland. A l'origine de cet incident, un entrepreneur SCADA du Maroochy Shire Council qui avait postulé pour un emploi au sein du Conseil chargé de gérer le système des eaux. N'ayant pas été retenu pour le poste, l'entrepreneur a rempli sa voiture d'équipement radio volé et, à l'aide d'un ordinateur probablement volé également, il a envoyé des commandes radio vers l'installation de traitement des eaux usées de la station d'épuration. Cette intrusion non autorisée a provoqué le déversement de 800 000 litres d'eaux usées brutes dans les parcs et rivières locaux et sur le terrain d'un hôtel Hyatt Regency.
Augmenter le taux de chlore
Mais, lors du dernier incident ciblant les installations israéliennes, le but apparent n'était pas de déverser quoi que ce soit mais d'augmenter le niveau de chlore dans le système d'approvisionnement en eau. « L'un des principaux systèmes de contrôle industriel (ICS) impliqués dans le traitement de l'eau gère l'ajout des quantités de produits chimiques dans l'eau avant qu'elle ne soit distribuée », a expliqué Mme Carhart. « Il est évidemment très regrettable de fournir une eau avec un mauvais niveau de chlore ». Matt Lampe pense que la tentative d'attaque menée contre les installations israéliennes a sûrement été mise au point par un acteur très sophistiqué de la menace, très probablement un État-nation. « Ce genre d'attaque doit être très précisément adapté à des systèmes de contrôle très spécifiques pour passer inaperçue », a-t-il déclaré.
Des connaissances et une planification sophistiquées
Mme Carhart pense également que les cyberattaques contre les systèmes de contrôle industriels ICS nécessitent beaucoup de connaissances et de planification. « Les attaques ICS demandent beaucoup de temps de préparation, car il faut recueillir un grand nombre d'informations sur les systèmes ciblés », a-t-elle renchéri. « Les systèmes de contrôle industriel ne sont pas seulement digitaux, ils sont aussi analogiques et mécaniques. En général, l'environnement industriel combine un tas de choses différentes, sans parler des PLC numériques (contrôleurs logiques programmés), programmés pour faire certaines choses, des systèmes DCS (système de contrôle distribué) et du système SCADA (contrôle et acquisition de données en temps réel). « Le pirate ou l'organisation malveillante qui veulent s'attaquer à un processus industriel ont vraiment besoin de comprendre tout cela. Ils ne peuvent pas se contenter de s'attaquer au système numérique », a-t-elle ajouté. « J'ai l'impression qu'ils ont essayé de modifier les niveaux de chlore tout en faisant croire aux opérateurs que ces niveaux étaient bons », a déclaré M. Lampe. Si c'est le cas, ce genre d'attaque est au moins aussi compliqué à concevoir qu'une attaque Stuxnet. « Si l'on se réfère à l'attaque Stuxnet, qui ciblait essentiellement un système de contrôle des centrifugeuses, celle-ci consistait principalement aussi à envoyer de fausses informations aux opérateurs ».
En supposant que c'est ce qui s'est passé, cela expliquerait pourquoi les autorités israéliennes ont demandé aux compagnies des eaux de vérifier leurs niveaux de chlore, car leurs instruments pourraient indiquer que les niveaux de chlore sont acceptables, alors qu'une cyber-attaque sur le système a peut-être déclenché l'ajout d'une quantité excessive de chlore dans l'eau. « Dans le cas de Stuxnet, le comportement du système et les informations remontées au contrôleur étaient aussi différentes », a expliqué M. Lampe. « J'ai le sentiment que c'est bien ce type d'attaque qui a lieu en Israël. Cela suppose que l'attaquant a pu collecter beaucoup d'informations sur les systèmes de contrôle eux-mêmes », a-t-il ajouté. « Ce que nous essayons de faire comprendre à nos services d'eau, c'est qu'il ne faut pas accorder une confiance excessive aux systèmes numériques et nous les incitons à mettre en place des procédures qui confirment physiquement le statut des systèmes », a déclaré la commissaire Maria Bocanegra. « L'eau est le seul service réellement consommé par la population. C'est excessivement important. On ne peut pas vivre sans eau ».
Des ressources de cybersécurité insuffisantes
On estime à 70 000 le nombre de services de distribution de l'eau dans le monde, et partout, et en particulier aux États-Unis, ces services sont vulnérables aux attaques, car ce sont généralement des structures de petite taille et leur personnel n'a pratiquement aucune compétence en matière de cybersécurité. « Les personnes qui travaillent dans les installations de distribution des eaux se disent très préoccupées par les menaces de cybersécurité », a déclaré Mme Carhart. « Or il n'y a généralement qu'un ou deux informaticiens dans ces installations. Ils se soucient beaucoup de la cybersécurité. Ils sont engagés, ils posent des questions, ils comprennent où sont les vulnérabilités. Mais dans la plupart des municipalités, on ne leur donne pas les ressources adéquates pour protéger correctement leurs systèmes contre les cyberattaques », a-t-elle ajouté. Ce manque de ressources pour détecter une attaque fait que les compagnies des eaux sont une cible de choix pour des acteurs malveillants bien financés qui cherchent à tester de nouvelles méthodes. « Souvent, nous constatons que les attaquants se servent des petits fournisseurs et des compagnies locales comme terrain d'essai. Ces adversaires, mieux dotés en ressources, ont compris qu'il était plus efficace de s'attaquer à de petits services publics locaux », a ajouté Mme Carhart.
Pas d'obligations réglementaires
Contrairement à l'industrie électrique, l'industrie de l'eau ne doit se conformer à aucune obligation réglementaire en matière de cybersécurité, même si ce secteur dispose d'un centre d'analyse et de partage des informations sur l'eau (WaterISAC) qui sert de source d'informations sur la sécurité contre les menaces pour le secteur de l'eau et des eaux usées. Sauf que, les directives émises par le WaterISAC sont uniquement basées sur le volontariat et de nombreuses compagnies des eaux ne disposent pas des ressources nécessaires pour les mettre en oeuvre.