IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Les employés de l'usine d'eau piratée en Floride ont utilisé le même mot de passe TeamViewer et aucun pare-feu,
Sous Windows 7, qui n'est plus pris en charge par Microsoft

Le , par Stan Adkens

106PARTAGES

6  0 
Vendredi dernier, des cyberattaquants ont obtenu à deux reprises un accès non autorisé au système de contrôle et d'acquisition de données (SCADA) utilisé dans la station de traitement d’eau dans la ville d'Oldsmar en Floride, et ont pu trafiquer momentanément l'approvisionnement en eau. Selon des représentants du gouvernement, l'usine dont le système informatique a subi une violation potentiellement dangereuse, utilisait une version de Windows non prise en charge, sans pare-feu, et partageait le même mot de passe TeamViewer avec ses employés.

Une version obsolète de Windows et un réseau de cybersécurité faible ont permis à des pirates informatiques d'accéder au système informatique de l’usine d’épuration d’eau de la ville de 15 000 habitants. Après avoir obtenu un accès à distance à un ordinateur qui contrôlait les équipements de la station de traitement, l'intrus, qui reste non identifié jusqu’à présent, a multiplié par un facteur de plus de 100 la quantité d'hydroxyde de sodium - un produit chimique caustique plus connu sous le nom de soude. Le sabotage aurait pu provoquer de graves maladies ou la mort si un superviseur travaillant à distance n’était pas intervenu à temps pour diminuer la concentration.


Selon un avis de l'État du Massachusetts émis à l’attention des fournisseurs publics d'eau, les employés de l'usine d'Oldsmar ont utilisé un ordinateur fonctionnant sous Windows 7 pour accéder à distance aux commandes de l'usine, connu sous le nom de SCADA. De plus, l'ordinateur n'avait pas de pare-feu et utilisait un mot de passe partagé entre les employés pour se connecter à distance aux systèmes d’eau de la ville avec l'application TeamViewer. Dans leur avis, les responsables du Massachusetts ont écrit, entre autres :

Les acteurs non identifiés ont accédé aux commandes SCADA de la station d'épuration d’eau via le logiciel d'accès à distance, TeamViewer, qui a été installé sur l'un des nombreux ordinateurs utilisés par le personnel de la station d'épuration d’eau pour vérifier l'état du système et répondre aux alarmes ou à tout autre problème survenu au cours du processus de traitement d’eau. Tous les ordinateurs utilisés par le personnel de la station d'épuration étaient connectés au système SCADA et utilisaient la version 32 bits du système d'exploitation Windows 7. En outre, tous les ordinateurs partageaient le même mot de passe pour l'accès à distance et semblaient être directement connectés à Internet sans qu'aucun type de protection par pare-feu ne soit installé.

Le FBI a publié un avis à l'industrie du traitement d’eau sur l'incident de l'installation d'Oldsmar. Dans son avis (partagé sur Twitter par Eric Geller de Politico), le Bureau a déclaré que l'attaque a "probablement" exploité un vieux système d'exploitation et un faible niveau de sécurité des mots de passe d’une application d’intervention à distance. L’agence a écrit :

Les cyberacteurs ont probablement accédé au système en exploitant les faiblesses de la cybersécurité, notamment une mauvaise sécurité des mots de passe et un système d'exploitation Windows 7 obsolète pour compromettre les logiciels utilisés pour gérer à distance le traitement de l'eau », ont écrit les enquêteurs dans la notification. « L'acteur a également probablement utilisé le logiciel de partage de bureau TeamViewer pour obtenir un accès non autorisé au système.


Le FBI et d'autres agences de maintien de l'ordre tentent toujours de déterminer qui était derrière le piratage et les motifs possibles. Il n'est pas clair si les suspects étaient étrangers ou nationaux, ont déclaré des sources proches de l'enquête aux médias. Les enquêteurs craignent que le coupable ne frappe à nouveau et que le résultat soit bien pire.

Un laxisme en matière de sécurité qui met en danger les infrastructures critiques

Ces révélations illustrent le manque de rigueur en matière de sécurité que l'on trouve dans de nombreux environnements d'infrastructures critiques. En janvier 2020, Microsoft a mis fin à la prise en charge de Windows 7, une mesure qui a mis fin aux mises à jour de sécurité du système d'exploitation. Les derniers correctifs pour le système ont été publiés le 14 janvier et la société a ainsi abandonné cette version du système d’exploitation. L’utilisation de ce dernier devient donc très dangereuse, car il est depuis plus d’un an exposé à toute sorte de vulnérabilités et d’attaques.

Windows 7 offre également moins de protections de sécurité que Windows 10. L'absence d'un pare-feu et un mot de passe identique pour chaque employé sont également des signes que le régime de sécurité du département en charge de l’industrie n'était pas aussi strict qu'il aurait pu l'être.

La brèche s'est produite vers 13h30 vendredi dernier, lorsqu'un employé de l’installation de traitement d’eau a regardé la souris de son ordinateur se déplacer toute seule alors qu'un inconnu accédait à distance à une interface qui contrôlait le processus de traitement d'eau, a rapporté lundi le shérif du comté de Pinellas lors d’une conférence de presse. La personne à l'autre bout a modifié la quantité de soude ajoutée à l'eau, passant d'environ 100 parties par million (ppm) à 11 100 ppm. La lessive est utilisée en petites quantités pour ajuster l'alcalinité de l'eau potable et éliminer les métaux lourds et autres contaminants. À plus forte dose, le produit chimique est un danger pour la santé.

Christopher Krebs, l'ancien chef de l'Agence de cybersécurité et de sécurité des infrastructures, aurait déclaré mercredi à une commission de la sécurité intérieure de la Chambre des représentants que la brèche était « très probablement » le fait d'un « employé mécontent ». Ellen Nakashima, Journaliste qui couvre la sécurité nationale, a tweeté les commentaires de Krebs : « "Il est possible que ce soit un insider ou un employé mécontent. Il est également possible que ce soit un acteur étranger". ... Mais "il ne faut pas en conclure qu'il s'agit d'un adversaire sophistiqué" ».


Lune des anciennes attaques contre des infrastructures de traitement d'eau, qui a retenu l'attention du public en 2000, était le fait d’une personne interne à une installation de traitement des eaux usées en Australie. Un employé mécontent, Vitek Boden, a utilisé du matériel volé pour accéder au contrôleur SCADA et déverser 800 000 litres d'eau d'égout non traitée dans les voies navigables de Maroochy Shire, ont rapporté des médias à l’époque.

Les fonctionnaires municipaux ont déclaré que les résidents n'ont jamais été en danger, car le changement a été rapidement détecté et inversé. Même si le changement n'avait pas été inversé, les fonctionnaires ont déclaré que le personnel de la station d'épuration avait été préparé pour prendre en charge les conditions dangereuses avant que l'eau ne soit livrée aux foyers et aux entreprises.

L’avis du FBI a exhorté les administrateurs des technologies de l'information à s'assurer que les ordinateurs sont à jour et que les mots de passe sont sécurisés. « Microsoft, le FBI et d'autres professionnels de l'industrie recommandent fortement de mettre à jour les systèmes informatiques pour en faire un système d'exploitation activement soutenu », indique la notification. Ne pas le faire « présente des vulnérabilités que les pirates informatiques peuvent exploiter ».

Après l'incident de vendredi, les responsables d'Oldsmar ont désactivé le système d'accès à distance et ont averti les autres dirigeants des villes de la région de vérifier leurs systèmes.

Chris Sistrunk, directeur technique de la division Mandiant de FireEye a déclaré, selon AP News, que les problèmes de cybersécurité sont relativement nouveaux pour les services d'eau américains, dont les plus gros problèmes sont les tuyaux qui gèlent et éclatent en hiver ou qui se bouchent avec des lingettes jetables. Le piratage d'Oldsmar souligne la nécessité d'une formation plus poussée et de protocoles de sécurité de base, mais pas de mesures draconiennes telles que l'adoption de nouvelles réglementations.

« Nous devons faire quelque chose, nous ne pouvons pas ne rien faire. Mais nous ne pouvons pas réagir de manière excessive », a-t-il déclaré.

Source : Mass.gov

Et vous ?

Qu’en pensez-vous ?
Le personnel de l’usine d’eau d’Oldsmar se partage le même mot de passe TeamViewer sous Windows 7 pour accéder à distance au système de contrôle de traitement d’eau. Quels commentaires en faites-vous ?
Selon vous, pourquoi des infrastructures critiques continuent d’utiliser Windows 7 alors qu’il n’est plus pris en charge ?

Voir aussi :

Microsoft annonce la fin du support de Windows 7 et fait ses adieux au système d'exploitation, alors que plus de la moitié des entreprises n'ont pas encore fini de passer à Windows 10
Des pirates informatiques ont saboté une installation de traitement d'eau en Floride en modifiant les niveaux de produits chimiques, après avoir accédé à l'installation via TeamViewer
Piratage du réseau d'une centrale nucléaire indienne : quelles leçons pouvons nous en tirer ? Quelques pistes de réflexion
Une ville de Floride accepte de payer 600 000 $ à des pirates informatiques, après qu'ils aient paralysé les systèmes informatiques de toute la ville

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de sergio_is_back
Expert confirmé https://www.developpez.com
Le 11/02/2021 à 12:37
Je suis pas sûr que Windows 7 soit bien le problème.... Si la prise en main à distance a été faîte par TeamViewer Windows 10 n'aurait surement pas fait mieux...

Quand on utilise pas de pare-feu et que l'on ouvre une installation sensible vers l'extérieur... Bref c'est chercher le bâton pour se faire battre
4  0 
Avatar de redcurve
Inactif https://www.developpez.com
Le 11/02/2021 à 13:38
Teamviewer permet d'ouvrir de faire du partage d'écran à distance et donc de bypass complètement la sécurité la session étant déjà ouverte sur la machine distante il n'y a aucune sécurité
2  0 
Avatar de Cpt Anderson
Membre émérite https://www.developpez.com
Le 11/02/2021 à 12:03
Laisse moi deviner le mot de passe : 1234567
1  0 
Avatar de defZero
Membre extrêmement actif https://www.developpez.com
Le 11/02/2021 à 17:29
Qu’en pensez-vous ?

J'en pense qu'a vouloir faire des économies sur le personnel, ça doit forcement arriver ce genre de truc.
Ils auraient eu un Technicien sur site (déjà pas le poste le plus cher, on est d'accord) pour faire les confs et autres entretient et MàJ des systèmes, ça aurait facilement put être évité.
Pour une infra critique, le minimum c'est poste à jour, firewall, connexion externe uniquement via VPN, serveur LDAP pour la gestion des ressources et en interne au moins une infra Kerberos pour l'auth.

Le personnel de l’usine d’eau d’Oldsmar se partage le même mot de passe TeamViewer sous Windows 7 pour accéder à distance au système de contrôle de traitement d’eau. Quels commentaires en faites-vous ?

Elémentaire mon cher Watson, la version gratuite de TeamViewer installer sur un poste par un employé lambda qui voulez travailler depuis chez lui et les collègues qui trouvant ça pratique lui ont demandé l'accès.
Courant et déjà vécu chez plusieurs clients.

Selon vous, pourquoi des infrastructures critiques continuent d’utiliser Windows 7 alors qu’il n’est plus pris en charge ?

Simplement parce que les dirigeants considèrent, pour la plus part, l'informatique uniquement comme un coup et que si ça marche, pourquoi changer quelque chose ?
Résultat, des infra (le mot est même trop fort pour des postes "installés" / posé là, avec trois progiciel installé par le presta) obsolètes, ou même pas adapter au besoins, dès leurs mises en places.
2  1 
Avatar de
https://www.developpez.com
Le 11/02/2021 à 22:07
Bonsoir,

Les employés de l'usine d'eau piratée en Floride ont utilisé le même mot de passe TeamViewer et aucun pare-feu, sous Windows 7, qui n’est plus pris en charge par Microsoft.

Qu’en pensez-vous ?
Profil de la société je dirais :

petite PME
avec mission de service publique
aux USA
un mode de fonctionnement "à l'ancienne" (figé dans les années 2000/2005 quoi ... ) niveau management , une époque ou la sécu informatique était pas aussi poussé que maintenant

La société n'a tout simplement pas voulu faire de maj de son système, car c'est un opérateur privé dépendant d'autorités publiques ... et cela à un coup pour le contribuable !

Quand on sait que des machines fonctionnent encore avec des OS Windows NT des années 1990/2000 ... Installer Teams Viewer et j'en passe en terme de sécu c'est tout simplement a des années lumières pour eux.

Le personnel de l’usine d’eau d’Oldsmar se partage le même mot de passe TeamViewer sous Windows 7 pour accéder à distance au système de contrôle de traitement d’eau. Quels commentaires en faites-vous ?
C'est ce que je disais au dessus ... habitude à l'ancienne ...

Selon vous, pourquoi des infrastructures critiques continuent d’utiliser Windows 7 alors qu’il n’est plus pris en charge ?
Je vois 3 cas de figures :

> les grosses machines de prod industrielles dans les grands groupes
> les machines de prod dans les PME
> les machines et outils dans des installations d'entreprises avec des missions de services publiques

Pour les 2 dernières soit c'est les investissements qui sont le frein à faire évoluer les OS et la sécu informatique , soit c'est le bridage politique , soit la dépendance à l'argent publique qui freine les évos.
1  0 
Avatar de
https://www.developpez.com
Le 16/02/2021 à 10:24
Que la station d'épuration tourne avec une version de Windows obsolète ne me choque pas. La philosophie des DCS/SCADA, c'est qu'une fois que l'architecture est viabilisée, on y touche plus jamais.

Ce qui me choque par contre, c'est d'avoir rendu accessible par Internet le SCADA en lui-même. Ça c'est totalement contraire aux règles les plus élémentaires de sécurité. Quand bien même il y aurait un besoin impérieux de piloter la station d'épuration à distance, cela doit se faire par une liaison dédiée physiquement déconnectée d'Internet.
1  0 
Avatar de Ryu2000
Membre extrêmement actif https://www.developpez.com
Le 11/02/2021 à 14:59
Citation Envoyé par sergio_is_back Voir le message
Je suis pas sûr que Windows 7 soit bien le problème....
Des failles vont être découvertes dans Windows 7 et elles ne seront pas patchées.
Ces failles pourront être exploitées, donc il faut anticiper le problème et passer à Windows 10.

En lisant ce type d'article, des entreprises pourraient se rappeler qu'elles doivent abandonner Windows 7. (et quelles doivent faire attention aux mots de passe )
0  0 
Avatar de
https://www.developpez.com
Le 16/02/2021 à 13:43
Bonjour,

Citation Envoyé par Jeff_67 Voir le message
Que la station d'épuration tourne avec une version de Windows obsolète ne me choque pas. La philosophie des DCS/SCADA, c'est qu'une fois que l'architecture est viabilisée, on y touche plus jamais.

Ce qui me choque par contre, c'est d'avoir rendu accessible par Internet le SCADA en lui-même. Ça c'est totalement contraire aux règles les plus élémentaires de sécurité. Quand bien même il y aurait un besoin impérieux de piloter la station d'épuration à distance, cela doit se faire par une liaison dédiée physiquement déconnectée d'Internet.
Voilà , c'est cela . C'est le fait de mettre une "porte" sur un circuite interne , censé être "fermé" strictement ...
0  0