Aux États-Unis, une cyber-intrusion dans la station d’épuration d’une ville de 15.000 habitants a permis d’augmenter de façon dangereuse le traitement à la soude caustique dans l’eau potable. Retour sur une attaque rare d’une infrastructure critique.

au sommaire

    Vendredi 5 février, dans la petite unité de traitement d’eau de la ville d'Oldsmar, en Floride (États-Unis), c'est devant le regard surpris d'un employé qu'un drame a failli avoir lieu. Le pointeur de la souris de son ordinateur se déplaçait tout seul sans qu'il ne puisse reprendre le contrôle. Puis quelques heures après, sur le même moniteur, le pointeur a commencé à activer des commandes de la station d'épuration. L'intrus est parvenu à modifier en quelques secondes les niveaux de traitement de l'eau à l'hydroxyde de sodiumhydroxyde de sodium, autrement dit, de soude caustique. Son réglage est passé subitement de 100 à 11.000 parties par million. Alors que la soude permet de réguler le PH de l'eau, la concentration appliquée était devenue dangereuse pour l'Homme.

    Cette intrusion n'a pas fait de victime, car l'opérateur a pu vite reprendre le contrôle et permettre de retrouver rapidement une eau potable de bonne qualité. Et même s'il n'était pas intervenu, les systèmes d'alerte automatiques auraient sécurisé le système de traitement d'eau. Mais cette cyber-intrusion visant précisément une infrastructure critique est suffisamment rare pour effrayer à la fois les autorités et les populations. Passé l'effet de surprise, cette tentative de piratage sur des installations sensibles questionne d'autant plus que le réseau de contrôle d'un tel équipement est censé être étanche au réseau Internet public.

    Lors d’une cyber-intrusion dans les systèmes de la centrale d’Ivano Frankisv’s en Ukraine, un pirate avait pu couper le courant à plus de 250.000 habitants durant six heures. © Sylvain Biget
    Lors d’une cyber-intrusion dans les systèmes de la centrale d’Ivano Frankisv’s en Ukraine, un pirate avait pu couper le courant à plus de 250.000 habitants durant six heures. © Sylvain Biget

    Des sites sensibles dotés de grosses brèches

    Or, dans cette affaire, le pirate est probablement parvenu à ses fins en accédant au poste de commandes via l'outil de télémaintenance TeamViewer. Le logiciellogiciel était souvent utilisé par les agents de la station pour vérifier les systèmes ou bien régler à distance des problèmes informatiques. Pour le moment, l'enquête menée n'a pas livré plus de détails de la manœuvre employée. Suite à cette intrusion, TeamViewer a été désinstallé, mais il est apparu qu'effectivement les systèmes sensibles de l'unité de traitement n'étaient pas coupés d'Internet. Pas anodin, ce type d'attaque n'est pas non plus unique. Déjà en 2016, une intrusion identique avait eu lieu aux États-Unis et en 2020 plusieurs tentatives avaient été réalisées sur des réserves d'eau israéliennes.

    Plus généralement, les cyber-intrusions sur des installations nationales critiques liées au transport de l'électricité sont régulièrement tentées par des pirates. En 2019, Futura a pu interroger les opérateurs de la centrale électrique d'Ivano Frankivs'k en Ukraine. En 2015-2016, elle fut l'une des cibles d'une vaguevague d'attaques ayant paralysé 12 centrales électriques et privé des villes entières d'énergieénergie. Là encore, l'opérateur avait pu voir, impuissant, le pointeur de sa souris « couper » le courant. En raison de la nature de ce genre d'attaque, il s'agit rarement de hackers solitaires, mais plutôt de pirates sponsorisés par un État-nation, même si l'attribution reste difficile à affirmer. Reste que l'avantage de ce genre d'intrusion ponctuelle et sans dommage, c'est qu'elle permet de renforcer au niveau national la sécurité de ces sites critiques et stratégiques.