IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Des pirates informatiques ont saboté une installation de traitement d'eau en Floride en modifiant les niveaux de produits chimiques,
Après avoir accédé à l'installation via TeamViewer

Le , par Stan Adkens

144PARTAGES

4  0 
Des pirates informatiques ont pénétré dans le système informatique d'une installation qui traite l'eau dans la ville d'Oldsmar d'environ 15 000 personnes, en Floride, et ont cherché à ajouter un dangereux niveau d’un additif, l’hydroxyde de sodium, à l'approvisionnement en eau, a déclaré lundi le shérif du comté de Pinellas dans une interview. Les pirates ont accédé à distance grâce au logiciel TeamViewer sur l'ordinateur d'un employé de l’usine de traitement d’eau de la ville avant de prendre le contrôle d'autres systèmes. La tentative a été déjouée et personne n’a été touché.

L'hydroxyde de sodium (NaOH) est couramment présent dans les produits d'entretien ménager, mais il peut être très dangereux pour les humains s'il est ingéré en forte concentration. Toutefois, à des niveaux plus faibles, il est utilisé par les installations de traitement de l'eau pour ajuster l'acidité (pH) et éliminer les métaux lourds. « À aucun moment, il n'y a eu d'effet négatif significatif sur l'eau traitée », a déclaré le shérif du comté de Pinellas, Bob Gualtieri, lors d'une conférence de presse lundi, qui a ensuite été publiée sur YouTube. « Il est important de noter que le public n'a jamais été en danger ».


Selon Gualtieri, un opérateur de l'usine surveillait le système vers 8 heures vendredi et a remarqué que quelqu'un y avait brièvement accédé. Il n'a pas trouvé cela inhabituel, car son superviseur accédait régulièrement au système à distance. Mais vers 13h30 le même jour, quelqu'un a de nouveau accédé au système. Cette fois, a dit le shérif, l'opérateur a vu quelqu'un prendre le contrôle de la souris, la diriger vers le logiciel qui contrôle les fonctions de traitement de l'eau, travailler à l'intérieur pendant trois à cinq minutes et augmenter la quantité d'hydroxyde de sodium de 100 parties par million à 11 100 parties par million (1 ppm équivaut à 1 mg par litre).

Les agresseurs ont ensuite quitté le système, a déclaré Gualtieri lors de la conférence de presse, et l'opérateur a aussitôt modifié la concentration pour la ramener à 100 parties par million. Le changement a été immédiatement inversé par ce dernier et la population d'Oldsmar n'a été à aucun moment en danger, car l'opérateur est intervenu immédiatement. L'employé de la centrale a alors coupé l'accès à distance au système.

Les pirates informatiques ont accédé à distance via un logiciel de bureau, appelé TeamViewer, installé sur l'ordinateur de l’opérateur de l’usine de traitement d’eau pour ensuite prendre le contrôle d'autres systèmes, a déclaré Gualtieri. TeamViewer, qui indique sur son site Web que son logiciel a été installé sur 2,5 milliards d'appareils dans le monde, permet entre autres une assistance technique à distance par des personnes autorisées.

Bien que personne n'ait été touché, l'incident est un exemple inquiétant de piratages informatiques visant les infrastructures publiques avec des intentions non élucidées pour l’instant. Le comté de Pinellas enquête actuellement sur ce piratage, aux côtés du FBI et des services secrets. D'autres villes et localités voisines ont également été alertées de la menace potentielle.

Personne n'a été arrêté, a déclaré Gualtieri, bien que les enquêteurs aient quelques pistes. Ils ne savent pas pourquoi Oldsmar a été pris pour cible, a-t-il dit. Il a ajouté que d'autres municipalités de la région ont été alertées de l'attaque et encouragées à inspecter les garanties de leurs systèmes de traitement des eaux et autres infrastructures. « L'important est de mettre tout le monde au courant », a dit le shérif. « Cela devrait être un signal d'alarme ».

Le sénateur Marco Rubio a également abordé l'attaque dans un tweet lundi, disant qu'elle « devrait être traitée comme une question de sécurité nationale ».


Le nombre de cyberattaques contre les infrastructures critiques a augmenté

Le maire d'Oldsmar, Eric Seidel, a déclaré lors de la conférence de presse que l'installation de traitement de l'eau touchée avait également mis en place d'autres contrôles qui auraient empêché une quantité dangereuse de soude de pénétrer dans l'approvisionnement en eau sans être remarquée.

« Même si l'opérateur de la station n'avait pas rapidement inversé l'augmentation de la quantité d'hydroxyde de sodium, il aurait fallu entre 24 et 36 heures pour que cette eau atteigne le système d'approvisionnement en eau et il existe des redondances là où l'eau avait été contrôlée avant d'être déversée », a déclaré le shérif.

Selon l'équipe de Mandiant Threat Intelligence Transformation, le nombre d'incidents impliquant des acteurs moins qualifiés essayant d'accéder à distance à des systèmes de contrôle industriels a augmenté depuis l'année dernière.

« Beaucoup de victimes semblent avoir été choisies arbitrairement, comme les propriétaires et les exploitants de petites infrastructures critiques qui desservent un ensemble limité de population. Grâce à l'interaction à distance avec ces systèmes, les acteurs se sont engagés dans des opérations à impact limité qui comprenaient souvent la manipulation de variables provenant de processus physiques. Aucun de ces cas n'a entraîné de dommages aux personnes ou aux infrastructures étant donné que les processus industriels sont souvent conçus et surveillés par des ingénieurs professionnels qui intègrent des mécanismes de sécurité pour prévenir des modifications inattendues », a dit un porte-parole du service de renseignement sur les menaces.

Des attaques contre des installations de traitement de l'eau ont eu lieu à plusieurs reprises au cours des deux dernières décennies. L'une des plus anciennes qui a retenu l'attention du public s'est produite en 2000 dans une installation de traitement des eaux usées en Australie et était le fait d'une personne interne à l’installation. Un employé mécontent, Vitek Boden, a utilisé du matériel volé pour accéder au contrôleur SCADA et déverser 800 000 litres d'eau d'égout non traitée dans les voies navigables de Maroochy Shire, ont rapporté des médias à l’époque.

En 2011, un pirate informatique se faisant appeler "pr0f" a réagi à un rapport du DHS concernant une panne de pompe à eau à Springfield, dans l'Illinois. Le pirate a publié un lien avec des captures d'écran montrant qu'ils avaient accès à une usine de traitement des eaux usées dans le sud de Houston. En 2016, Verizon a rapporté dans son Data Breach Digest que des hacktivistes avaient réussi à pénétrer dans une compagnie d’eau dont le réseau informatique fonctionnait avec des logiciels et du matériel obsolètes.

Selon un article publié le 27 décembre dernier par l’organisation The Water Supply Association of BC, une compagnie d’eau de l'Illinois a été prise pour cible par des pirates informatiques russes présumés en novembre de l'année dernière. En mai 2020, le Washington Post a rapporté qu'une tentative de cyberattaque sur Israël l'année dernière, que des responsables des services de renseignement ont liée à l'Iran, impliquait des tentatives de manipulation de l'approvisionnement en eau.

Le contact avec l'hydroxyde de sodium peut détruire la peau et provoquer la chute des cheveux, selon le Centre national américain d'information sur les biotechnologies. L'ingestion peut être fatale. Gualtieri a déclaré qu'il ne savait pas quels effets physiologiques résulteraient de la concentration composée lors de l'attaque. En 2007, l'eau d'une ville du Massachusetts a été accidentellement traitée avec trop de lessive, causant des brûlures et une irritation de la peau chez les personnes qui se douchaient avec, selon Tampabay Times.

« Je ne suis pas chimiste », a déclaré le shérif. « Mais je peux vous dire que ce que je sais, c'est que si vous mettez une telle quantité de cette substance dans l'eau potable, ce n'est pas une bonne chose ».

Source : Vidéo

Et vous ?

Que pensez-vous de cette attaque ? Un choix arbitraire de cible ou une attaque préparée de longue date ?

Voir aussi :

Une ville de Floride accepte de payer 600 000 $ à des pirates informatiques, après qu'ils aient paralysé les systèmes informatiques de toute la ville
USA : le FBI et le DHS rapportent que des pirates auraient ciblé des entreprises de l'énergie, et de plusieurs autres secteurs critiques du pays
Piratage du réseau d'une centrale nucléaire indienne : quelles leçons pouvons nous en tirer ? Quelques pistes de réflexion
L'ANSSI note une augmentation de 255 % du nombre d'attaques par rançongiciels en 2020, et estime que ces attaques ne peuvent plus être reléguées au rang de simples attaques à visée lucrative

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de sergio_is_back
Expert confirmé https://www.developpez.com
Le 11/02/2021 à 12:37
Je suis pas sûr que Windows 7 soit bien le problème.... Si la prise en main à distance a été faîte par TeamViewer Windows 10 n'aurait surement pas fait mieux...

Quand on utilise pas de pare-feu et que l'on ouvre une installation sensible vers l'extérieur... Bref c'est chercher le bâton pour se faire battre
4  0 
Avatar de Cpt Anderson
Membre chevronné https://www.developpez.com
Le 09/02/2021 à 18:07
Très rassurant. On ose espérer que la sécurité informatique dans les usines SEVESO et autres centrales nucléaires et un peu plus robuste.
3  0 
Avatar de Jeff_67
Membre éprouvé https://www.developpez.com
Le 10/02/2021 à 13:11
Citation Envoyé par Cpt Anderson Voir le message
Très rassurant. On ose espérer que la sécurité informatique dans les usines SEVESO et autres centrales nucléaires et un peu plus robuste.
Sur les sites SEVESO, l'informatique process est sur un LAN physiquement indépendant de l'Intranet et d'Internet. Il faut un accès physique pour faire une attaque informatique.
2  0 
Avatar de redcurve
Membre extrêmement actif https://www.developpez.com
Le 11/02/2021 à 13:38
Teamviewer permet d'ouvrir de faire du partage d'écran à distance et donc de bypass complètement la sécurité la session étant déjà ouverte sur la machine distante il n'y a aucune sécurité
2  0 
Avatar de Jeff_67
Membre éprouvé https://www.developpez.com
Le 10/02/2021 à 14:45
Citation Envoyé par tanaka59 Voir le message
Rien n’empêche un matériel informatique "contaminé" d'être branché dessus ou alors une personne malveillante !
Les sous-stations d'une usine SEVESO ne sont pas accessibles à n'importe-qui, et restent en permanence fermées.

Autant il est assez trivial d'augmenter la consigne de débit d'une pompe de soude dès lors qu'on a accès à l'IHM via TeamViewer. La difficulté du piratage réside dans l'obtention du dit accès. Les exploitants ont grandement aidé les pirates en installant eux-mêmes TeamViewer.

Autant intervenir sur un DCS via une machine malveillante branchée à l'improviste n'a rien de simple. Il faut non seulement avoir une connaissance approfondie des systèmes de contrôle Siemens, Honeywell ou autre. Mais surtout, il faut connaître l'usine qu'on attaque, et en particulier le TAG des contrôleurs sur lesquelles on veut intervenir.

Conclusion, le piratage d'un site SEVESO n'est pas à la portée d'un cybercriminel random. Le seul cas connu s'en approchant est Stuxnet qui est le fait de la NSA, c'est un tout autre niveau.
1  0 
Avatar de Cpt Anderson
Membre chevronné https://www.developpez.com
Le 11/02/2021 à 12:03
Laisse moi deviner le mot de passe : 1234567
1  0 
Avatar de defZero
Membre extrêmement actif https://www.developpez.com
Le 11/02/2021 à 17:29
Qu’en pensez-vous ?

J'en pense qu'a vouloir faire des économies sur le personnel, ça doit forcement arriver ce genre de truc.
Ils auraient eu un Technicien sur site (déjà pas le poste le plus cher, on est d'accord) pour faire les confs et autres entretient et MàJ des systèmes, ça aurait facilement put être évité.
Pour une infra critique, le minimum c'est poste à jour, firewall, connexion externe uniquement via VPN, serveur LDAP pour la gestion des ressources et en interne au moins une infra Kerberos pour l'auth.

Le personnel de l’usine d’eau d’Oldsmar se partage le même mot de passe TeamViewer sous Windows 7 pour accéder à distance au système de contrôle de traitement d’eau. Quels commentaires en faites-vous ?

Elémentaire mon cher Watson, la version gratuite de TeamViewer installer sur un poste par un employé lambda qui voulez travailler depuis chez lui et les collègues qui trouvant ça pratique lui ont demandé l'accès.
Courant et déjà vécu chez plusieurs clients.

Selon vous, pourquoi des infrastructures critiques continuent d’utiliser Windows 7 alors qu’il n’est plus pris en charge ?

Simplement parce que les dirigeants considèrent, pour la plus part, l'informatique uniquement comme un coup et que si ça marche, pourquoi changer quelque chose ?
Résultat, des infra (le mot est même trop fort pour des postes "installés" / posé là, avec trois progiciel installé par le presta) obsolètes, ou même pas adapter au besoins, dès leurs mises en places.
2  1 
Avatar de tanaka59
Membre extrêmement actif https://www.developpez.com
Le 11/02/2021 à 22:07
Bonsoir,

Les employés de l'usine d'eau piratée en Floride ont utilisé le même mot de passe TeamViewer et aucun pare-feu, sous Windows 7, qui n’est plus pris en charge par Microsoft.

Qu’en pensez-vous ?
Profil de la société je dirais :

petite PME
avec mission de service publique
aux USA
un mode de fonctionnement "à l'ancienne" (figé dans les années 2000/2005 quoi ... ) niveau management , une époque ou la sécu informatique était pas aussi poussé que maintenant

La société n'a tout simplement pas voulu faire de maj de son système, car c'est un opérateur privé dépendant d'autorités publiques ... et cela à un coup pour le contribuable !

Quand on sait que des machines fonctionnent encore avec des OS Windows NT des années 1990/2000 ... Installer Teams Viewer et j'en passe en terme de sécu c'est tout simplement a des années lumières pour eux.

Le personnel de l’usine d’eau d’Oldsmar se partage le même mot de passe TeamViewer sous Windows 7 pour accéder à distance au système de contrôle de traitement d’eau. Quels commentaires en faites-vous ?
C'est ce que je disais au dessus ... habitude à l'ancienne ...

Selon vous, pourquoi des infrastructures critiques continuent d’utiliser Windows 7 alors qu’il n’est plus pris en charge ?
Je vois 3 cas de figures :

> les grosses machines de prod industrielles dans les grands groupes
> les machines de prod dans les PME
> les machines et outils dans des installations d'entreprises avec des missions de services publiques

Pour les 2 dernières soit c'est les investissements qui sont le frein à faire évoluer les OS et la sécu informatique , soit c'est le bridage politique , soit la dépendance à l'argent publique qui freine les évos.
1  0 
Avatar de Jeff_67
Membre éprouvé https://www.developpez.com
Le 16/02/2021 à 10:24
Que la station d'épuration tourne avec une version de Windows obsolète ne me choque pas. La philosophie des DCS/SCADA, c'est qu'une fois que l'architecture est viabilisée, on y touche plus jamais.

Ce qui me choque par contre, c'est d'avoir rendu accessible par Internet le SCADA en lui-même. Ça c'est totalement contraire aux règles les plus élémentaires de sécurité. Quand bien même il y aurait un besoin impérieux de piloter la station d'épuration à distance, cela doit se faire par une liaison dédiée physiquement déconnectée d'Internet.
1  0 
Avatar de BleAcheD
Membre habitué https://www.developpez.com
Le 09/02/2021 à 17:55
Grâce à un accès Teamviewer ? Ce fameux hacker avait donc les ID / mdp de cette session ? Ou alors il a piraté le PC du responsable qui avait accès à ce TW ? Ou un ancien employé ?
Étrange cette histoire.
0  0