Un pirate informatique s’est introduit dans le système d’une usine de traitement des eaux d’Oldsmar, en Floride, afin d’augmenter le taux d’hydroxyde de sodium (de la soude caustique) à un niveau très dangereux, rendant l’eau impropre à la consommation. La manœuvre a fort heureusement été repérée par un employé de l’usine, qui a immédiatement effectué les corrections nécessaires.
L’hydroxyde de sodium est couramment utilisé dans les produits ménagers. Dans le cadre du traitement de l’eau, il est utilisé pour équilibrer le pH et éliminer les métaux lourds. Habituellement, son niveau n’excède pas 100 parties par million dans cette usine de traitement, mais l’individu malveillant qui s’est introduit dans le système informatique a multiplié cette valeur plus de 100 fois ! À cette concentration, ce produit chimique peut être mortel.
L’événement s’est déroulé vendredi dernier, le 5 février ; l’intrus a pénétré illégalement dans le système de gestion du site via le logiciel Teamviewer, un logiciel d’accès à distance. Mais lorsque l’opérateur a constaté que sa souris se déplaçait toute seule, visiblement via une aide extérieure, et que quelqu’un effectuait des modifications dans le paramétrage du système de traitement, il a compris qu’il était victime d’une cyberattaque. Il a donc rapidement coupé l’accès à distance et effectué les corrections nécessaires avant que le « poison » ne se déverse dans l’eau.
Des systèmes industriels vulnérables
La plupart des actes de cybercriminalité sont aujourd’hui motivés par l’argent. Des pirates corrompent des systèmes, volent des données, puis monnayent, au choix, un « retour à la normale » du système informatique, ou des informations sensibles. Mais ce qui s’est produit dans ce site de traitement des eaux est très différent : cette fois-ci, des vies humaines étaient en danger. L’hydroxyde de sodium peut provoquer de graves brûlures sur la peau et s’avérer fatal en cas d’ingestion.
La réaction rapide de l’employé du site a permis d’éviter la catastrophe. « À aucun moment il n’y a eu d’effet négatif significatif sur l’eau traitée. La population n’a jamais été en danger », affirme Bob Gualtieri, le shérif du comté de Pinellas, en charge de l’enquête. Les responsables de la ville ont souligné lors d’une conférence de presse que plusieurs autres mesures de protection étaient en place pour empêcher l’eau contaminée de pénétrer dans le circuit d’approvisionnement.
Selon les médias locaux, quelques heures avant l’événement, les exploitants de l’usine avaient remarqué que quelqu’un tentait d’accéder à distance au système de l’usine. Ceci n’avait toutefois pas éveillé les soupçons, car cela n’apparaissait pas comme inhabituel. Mais un autre accès à distance a été initié le même jour, ce qui a cette fois alerté les opérateurs. À ce jour, le site est désormais coupé de tout accès à distance.
Cet incident souligne à quel point les systèmes connectés au sein des infrastructures critiques peuvent être vulnérables. Peut-être est-ce d’ailleurs le message que souhaitait envoyer le pirate informatique à l’origine de l’intrusion ? Les autorités locales, le FBI et les services secrets mènent l’enquête. Bien qu’ils aient quelques pistes, personne n’a été arrêté pour le moment, selon le shérif. Les autres municipalités de la région ont été alertées de l’attaque et encouragées à faire preuve de vigilance quant à la sécurité de leurs systèmes de traitement de l’eau et d’autres infrastructures.
Des protocoles de sécurité redondants
Le site de traitement d’Oldsmar approvisionne en eau toutes ses entreprises et ses 15’000 habitants. Le système informatique de cette station d’épuration a été configuré de telle sorte que des utilisateurs autorisés puissent y accéder à distance à des fins de dépannage. Ainsi, lorsque le premier accès a été détecté le vendredi matin, vers 8h, l’opérateur qui surveillait le système n’a pas réagi : son superviseur y accédait en effet régulièrement. Mais quelques heures plus tard, une personne extérieure a à nouveau accédé au système. L’intrusion a duré trois à cinq minutes : l’opérateur a vu quelqu’un prendre le contrôle de la souris, se diriger vers le logiciel de traitement, et augmenter les niveaux d’hydroxyde de sodium jusqu’à 11’100 parties par million. L’intrus a ensuite quitté le système et l’opérateur a immédiatement inversé les modifications effectuées.
Le shérif Gualtieri souligne que même sans la vigilance de l’opérateur, il aurait fallu plus d’une journée pour que l’eau pénètre dans le réseau d’approvisionnement de la ville. D’autres protocoles de sécurité sont d’ailleurs en place avant que l’eau ne parvienne aux consommateurs ; ils déclenchent une alerte en cas de dépassement des concentrations autorisées des produits chimiques : « Il y a des redondances dans le système qui auraient détecté le changement du niveau de pH », précise Gualtieri.
Les enquêteurs ne savent pas encore si l’attaque a eu lieu à l’intérieur ou à l’extérieur du comté de Pinellas, en Floride ou aux États-Unis. Selon les autorités, si l’attaquant est appréhendé, il devra faire face à des accusations de crime d’État et éventuellement à des accusations fédérales. Le sénateur Marco Rubio a également évoqué l’attaque dans un tweet lundi, affirmant qu’elle « devrait être traitée comme une question de sécurité nationale ».
L’incident n’est peut-être pas inédit. En 2007, l’eau d’une ville du Massachusetts avait été accidentellement traitée avec trop de soude caustique, provoquant des brûlures modérées et des irritations cutanées chez des dizaines de personnes qui s’étaient douchées avec cette eau. Les responsables de l’usine de traitement des eaux de la ville avaient évoqué à l’époque un dysfonctionnement. L’événement d’Oldsmar met une nouvelle fois en exergue la vulnérabilité de certaines infrastructures essentielles, qui nécessiteraient sans doute de revoir leurs politiques d’accès.