Oldsmar : les réseaux industriels plus que jamais vulnérables aux cyberattaques
En février 2021, la compagnie des eaux gérant le réseau d’eau potable de la petite ville d’Oldsmar, située en Floride aux États-Unis, a été victime d’une attaque dirigée vers le système d’information opérationnel. Tentative de décryptage avec l’aide de Fabien Pereira Vaz, spécialiste de la supervision chez Paessler AG.
Pourriez-vous nous décrire l’attaque ayant visé le réseau d’eau potable d’Oldsmar aux États-Unis ?
Fabien Pereira Vaz. En février dernier, la compagnie des eaux d’Oldsmar, située en Floride aux États-Unis, a été victime d’une cyberattaque de sabotage. Le hackeur a réussi à prendre la main sur le système de contrôle central et a pu multiplier par plusieurs centaines l’ajout de soude (hydroxyde de sodium), produit chimique utilisé dans le traitement des eaux pour réguler l’acidité de l’eau potable. Comme ce service des eaux dessert environ 15 000 résidents du comté ainsi que des commerces et entreprises locales, les conséquences de ce piratage auraient pu être désastreuses
Comment l’attaquant a-t-il pu entrer à l’intérieur du système ?
F. P. V. Le hackeur s’est donc infiltré jusqu’aux commandes du système par le biais d’un accès à distance, technologie régulièrement utilisée par le personnel et les prestataires de services via des comptes autorisés. Il s’est d’abord connecté une première fois, quelques heures avant l’attaque proprement dite, mais l’opérateur, ayant remarqué sa présence, a supposé qu’il s’agissait de son superviseur. Il n’a pas été établi si le hackeur s’est servi de l’accès de ce superviseur mais si ce n’est pas le cas, le système de cybersécurité installé n’était manifestement pas en mesure d’identifier de façon fiable une personne nouvellement connectée au réseau de manière non autorisée.
Quelles ont-été les conséquences de cette attaque ?
F. P. V. Heureusement, l’attaque n’a pas causé de dommages, mais davantage grâce au fruit du hasard qu’à un concept de sécurité élaboré. L’opérateur du système était en effet assis devant son écran et a été surpris que quelqu’un prenne le contrôle du curseur de sa souris. Il a ainsi pu intervenir à temps mais dans d’autres circonstances, même si les couches de sécurité ultérieures auraient probablement signalé tôt ou tard l’augmentation massive du produit chimique, il est peu probable que l’altération aurait été évitée. Cette attaque montre à quel point les réseaux industriels sont réellement vulnérables, avec des failles de sécurité qui existent encore dans de nombreuses infrastructures critiques desservant des milliers de personnes et pouvant être rapidement et facilement perturbées.
Quelle(s) mesure(s) aurai(en)t permis au système d’être moins vulnérable ?
« Cet incident souligne la nécessité de disposer d’une supervision intelligente dotée d’un système de détection des intrusions de bout en bout, qui repère et signale en temps réel tout changement dans les réseaux d’infrastructures. »
Fabien Pereira Vaz, Technical Sales Manager EMEA chez Paessler AG.
F. P. V. Cet incident souligne la nécessité de disposer d’une supervision intelligente dotée d’un système de détection des intrusions de bout en bout, qui repère et signale en temps réel tout changement dans les réseaux d’infrastructures. La surveillance du réseau avec détection d’anomalies aurait pu ainsi signaler la première connexion de l’intrus avant l’incident comme étant suspecte et potentiellement dangereuse. Pour y parvenir, la détection d’anomalies utilise divers indicateurs, tels que le comportement passé du compte utilisateur (heure d’accès, adresse IP, durée d’accès) et les actions effectuées à l’aide de ce compte. Elle aurait également identifié le hackeur comme malveillant s’il était entré dans le système par le biais d’un tout nouveau compte.
Par ailleurs, un système de protection des terminaux industriels aurait ajouté la possibilité d’empêcher automatiquement certaines opérations de se faire sur le système de contrôle à distance. Ces mécanismes de protection à la périphérie d’une infrastructure revêtent une importance particulière car ils sont efficaces là où se produit souvent le premier accès au système, permettant d’arrêter les attaques avant qu’elles ne progressent trop. Ils empêchent également le déplacement latéral des attaques à travers le parc informatique, ainsi que la progression dans la reconnaissance du réseau.
Publié à la suite de l’attaque, un rapport du Water Sector Coordinating Council indique que seulement 30,5 % des 52 000 réseaux d’eau potable aux États-Unis ont inventorié tous les actifs du réseau OT. Dans ce contexte, quelle serait la stratégie à adopter selon vous ?
F. P. V. Une stratégie de cybersécurité efficace ne consiste pas à trouver un dispositif unique qui convient pour tout. Les cybermenaces et les environnements informatiques devenant de plus en plus complexes, il s’agit plutôt d’identifier le bon ensemble de mesures et de les mettre en œuvre dans tout le système d’information. Le principe est d’adopter littéralement toutes les approches et normes de cybersécurité en considérant que seule une mise en place systématique de mesures complémentaires (tant organisationnelles que techniques) conduira à un niveau de sécurité approprié.
Ce principe est généralement appelé « défense en profondeur », avec plusieurs couches de défense spécialisées, nécessaires pour protéger des réseaux OT. Selon ce concept, si l’on dispose de plusieurs couches de sécurité, le réseau central est mieux sécurisé.
La station d’eau potable d’Oldsmar, une petite ville de Floride d’environ 15 000 habitants, a été victime d’une cyberattaque qui a permis au hackeur de changer la composition chimique de l’eau.
Pourriez-vous nous détailler ce qu’implique le concept de défense en profondeur[1] ?
F. P. V. On peut comparer cela aux châteaux médiévaux et leur succession de murs, portes, rétrécissements et tranchées qui garantissent que si un dispositif tombe, la structure globale est toujours sécurisée. Pour la cybersécurité des infrastructures critiques, cela se traduit par une combinaison de gestion des risques, de pare-feu, de VPN, d’authentification forte, de segmentation du réseau, de supervision du réseau et des équipements ainsi que de détection des anomalies.
Bien entendu, la stratégie de « défense en profondeur » doit intégrer à la fois les technologies opérationnelles (OT) et informatiques (IT). Comme l’OT est l’épine dorsale du fonctionnement quotidien des infrastructures critiques et présente des exigences et des défis très différents de ceux de l’IT d’entreprises de bureau, il est utile de combiner différents dispositifs qui répondent à certains besoins spécifiques de l’OT. Il s’agit avant tout d’assurer la stabilité par des approches passives qui ne perturbent pas les processus industriels.
« Ce qui s’est passé à l’usine de traitement des eaux d’Oldsmar devrait servir d’avertissement aux grandes entreprises d’infrastructures pour qu’elles bâtissent une barrière solide et sécurisée autour de leurs systèmes IT et OT. »
Il y a une grande leçon à tirer de ce qui s’est passé à l’usine de traitement des eaux d’Oldsmar et cet incident devrait servir d’avertissement aux grandes entreprises d’infrastructures pour qu’elles bâtissent une barrière solide et sécurisée autour de leurs systèmes IT et OT. Les méthodes utilisées par les hackeurs pour accéder aux systèmes d’information étant de plus en plus sophistiquées, les entreprises doivent avoir une longueur d’avance en supervisant attentivement l’ensemble du réseau et en identifiant toute faille qui pourrait rendre le système vulnérable aux attaques.
Quels sont les dangers liés au nombre croissant d’objets connectés ?
F. P. V. Le développement de l’IoT (internet des objets connectés) pose une véritable problématique globale sur la cybersécurité, ce qui freine son expansion. Et il ne faut effectivement pas aller trop vite car même s’il y a un début de prise de conscience, les précautions mises en place sont encore très insuffisantes et on ne peut pas vraiment compter sur les fabricants d’appareils IoT pour en garantir leur sécurité. À titre d’exemple, l’une des plus graves menaces de ces dernières années a été le Botnet Mirai, qui a provoqué des attaques DDoS massives à l’aide d’identifiants de connexion standards. Il a permis de mettre en évidence que des produits chinois bon marché, tels que des webcams, figurent parmi les équipements IoT les plus vulnérables, qui ne devraient être utilisés que dans des environnements isolés.
Il existe malheureusement un problème de compétences et de formation des équipes, exposant les entreprises à de graves failles de sécurité. D’autant plus qu’un seul appareil compromis peut permettre de pirater tout le réseau de l’entreprise par l’intermédiaire de déplacements latéraux. Sur des secteurs critiques (santé, énergie), les conséquences peuvent être dramatiques.
Le danger est donc réel en effet. Les appareils IoT étant de manière hybride à l’intérieur comme à l’extérieur de l’entreprise, il n’est pas toujours facile de les surveiller. Des solutions d’accompagnement deviennent donc indispensables, et la supervision en fait partie, afin de détecter des comportements anormaux sur les réseaux IoT, qu’ils soient le fruit de dysfonctionnements des appareils ou encore de cyberattaques. Cela peut par exemple être deux appareils qui communiquent soudainement entre eux, alors que cela n’est jamais arrivé auparavant. Un avertissement doit être envoyé à l’administrateur système afin qu’il repère rapidement l’objet en question. En attendant une plus grande maturité technologique de l’IoT, avoir recours à la supervision permet d’obtenir une visibilité complète de l’ensemble du réseau, ce qui peut fortement contribuer à sa sécurité.
Outre la stratégie de défense périmétrique en profondeur, en quoi les systèmes industriels gagneraient-ils à adopter une démarche Zero trust[2] ?
F. P. V. La méthodologie Zero trust est en lien avec celle de la défense en profondeur, avec un niveau de granularité très poussé au niveau des identifications et des accès à des applicatifs ou des données. Cela permet également de micro-segmenter le réseau. Ce qui peut être très efficace mais aussi compliqué à mettre en place à grande échelle. Quoi qu’il en soit, il s’agit à n’en pas douter d’une solution à retenir pour les périmètres les plus critiques, notamment dans l’industrie bien sûr. Dans les environnements OT, une segmentation rigoureuse des flux avec une approche Zero trust va permettre de contrôler les flux traversant les réseaux des sites industriels, grâce à leur micro-segmentation.
À lire également
[1] Notre article « Protéger des systèmes industriels en profondeur ».
[2] Notre article « Siemens – Zscaler : vers le modèle du “Zéro Trust” ».
Article extrait du n° 577 de Face au Risque : « Cybersécurité des systèmes industriels » (novembre 2021).
Bernard Jaguenaud – Rédacteur en chef
Les plus lus…
Cette fiche réflexe a été créée dans un contexte où la menace drone est trop souvent ignorée, et où…
La société Rolland, spécialisée dans la conception et la fabrication de sprinkleurs pour les réseaux de protection incendie, obtient…
Le développement des mobilités électriques, notamment les vélos, trottinettes et voitures, fait peser un risque nouveau tant chez les…
La directive (UE) 2024/2831 du Parlement européen et du Conseil du 23 octobre 2024, relative à l’amélioration des conditions…
D’avis unanime, les JOP 2024 ont été une réussite sur le plan sécuritaire. Durant cet événement inédit, trois projets…
L'arrêté du 31 octobre 2024 relatif à l'analyse des substances per- et polyfluoroalkylées dans les émissions atmosphériques des installations…