Sous Windows 7, qui n’est plus pris en charge par Microsoft
Vendredi dernier, des cyberattaquants ont obtenu à deux reprises un accès non autorisé au système de contrôle et d’acquisition de données (SCADA) utilisé dans la station de traitement d’eau dans la ville d’Oldsmar en Floride, et ont pu trafiquer momentanément l’approvisionnement en eau. Selon des représentants du gouvernement, l’usine dont le système informatique a subi une violation potentiellement dangereuse, utilisait une version de Windows non prise en charge, sans pare-feu, et partageait le même mot de passe TeamViewer avec ses employés.
Une version obsolète de Windows et un réseau de cybersécurité faible ont permis à des pirates informatiques d’accéder au système informatique de l’usine d’épuration d’eau de la ville de 15 000 habitants. Après avoir obtenu un accès à distance à un ordinateur qui contrôlait les équipements de la station de traitement, l’intrus, qui reste non identifié jusqu’à présent, a multiplié par un facteur de plus de 100 la quantité d’hydroxyde de sodium – un produit chimique caustique plus connu sous le nom de soude. Le sabotage aurait pu provoquer de graves maladies ou la mort si un superviseur travaillant à distance n’était pas intervenu à temps pour diminuer la concentration.
Selon un avis de l’État du Massachusetts émis à l’attention des fournisseurs publics d’eau, les employés de l’usine d’Oldsmar ont utilisé un ordinateur fonctionnant sous Windows 7 pour accéder à distance aux commandes de l’usine, connu sous le nom de SCADA. De plus, l’ordinateur n’avait pas de pare-feu et utilisait un mot de passe partagé entre les employés pour se connecter à distance aux systèmes d’eau de la ville avec l’application TeamViewer. Dans leur avis, les responsables du Massachusetts ont écrit, entre autres :
Les acteurs non identifiés ont accédé aux commandes SCADA de la station d’épuration d’eau via le logiciel d’accès à distance, TeamViewer, qui a été installé sur l’un des nombreux ordinateurs utilisés par le personnel de la station d’épuration d’eau pour vérifier l’état du système et répondre aux alarmes ou à tout autre problème survenu au cours du processus de traitement d’eau. Tous les ordinateurs utilisés par le personnel de la station d’épuration étaient connectés au système SCADA et utilisaient la version 32 bits du système d’exploitation Windows 7. En outre, tous les ordinateurs partageaient le même mot de passe pour l’accès à distance et semblaient être directement connectés à Internet sans qu’aucun type de protection par pare-feu ne soit installé.
Le FBI a publié un avis à l’industrie du traitement d’eau sur l’incident de l’installation d’Oldsmar. Dans son avis (partagé sur Twitter par Eric Geller de Politico), le Bureau a déclaré que l’attaque a “probablement” exploité un vieux système d’exploitation et un faible niveau de sécurité des mots de passe d’une application d’intervention à distance. L’agence a écrit :
Les cyberacteurs ont probablement accédé au système en exploitant les faiblesses de la cybersécurité, notamment une mauvaise sécurité des mots de passe et un système d’exploitation Windows 7 obsolète pour compromettre les logiciels utilisés pour gérer à distance le traitement de l’eau », ont écrit les enquêteurs dans la notification. « L’acteur a également probablement utilisé le logiciel de partage de bureau TeamViewer pour obtenir un accès non autorisé au système.
Le FBI et d’autres agences de maintien de l’ordre tentent toujours de déterminer qui était derrière le piratage et les motifs possibles. Il n’est pas clair si les suspects étaient étrangers ou nationaux, ont déclaré des sources proches de l’enquête aux médias. Les enquêteurs craignent que le coupable ne frappe à nouveau et que le résultat soit bien pire.
Un laxisme en matière de sécurité qui met en danger les infrastructures critiques
Ces révélations illustrent le manque de rigueur en matière de sécurité que l’on trouve dans de nombreux environnements d’infrastructures critiques. En janvier 2020, Microsoft a mis fin à la prise en charge de Windows 7, une mesure qui a mis fin aux mises à jour de sécurité du système d’exploitation. Les derniers correctifs pour le système ont été publiés le 14 janvier et la société a ainsi abandonné cette version du système d’exploitation. L’utilisation de ce dernier devient donc très dangereuse, car il est depuis plus d’un an exposé à toute sorte de vulnérabilités et d’attaques.
Windows 7 offre également moins de protections de sécurité que Windows 10. L’absence d’un pare-feu et un mot de passe identique pour chaque employé sont également des signes que le régime de sécurité du département en charge de l’industrie n’était pas aussi strict qu’il aurait pu l’être.
La brèche s’est produite vers 13h30 vendredi dernier, lorsqu’un employé de l’installation de traitement d’eau a regardé la souris de son ordinateur se déplacer toute seule alors qu’un inconnu accédait à distance à une interface qui contrôlait le processus de traitement d’eau, a rapporté lundi le shérif du comté de Pinellas lors d’une conférence de presse. La personne à l’autre bout a modifié la quantité de soude ajoutée à l’eau, passant d’environ 100 parties par million (ppm) à 11 100 ppm. La lessive est utilisée en petites quantités pour ajuster l’alcalinité de l’eau potable et éliminer les métaux lourds et autres contaminants. À plus forte dose, le produit chimique est un danger pour la santé.
Christopher Krebs, l’ancien chef de l’Agence de cybersécurité et de sécurité des infrastructures, aurait déclaré mercredi à une commission de la sécurité intérieure de la Chambre des représentants que la brèche était « très probablement » le fait d’un « employé mécontent ». Ellen Nakashima, Journaliste qui couvre la sécurité nationale, a tweeté les commentaires de Krebs : « “Il est possible que ce soit un insider ou un employé mécontent. Il est également possible que ce soit un acteur étranger”. … Mais “il ne faut pas en conclure qu’il s’agit d’un adversaire sophistiqué” ».
Lune des anciennes attaques contre des infrastructures de traitement d’eau, qui a retenu l’attention du public en 2000, était le fait d’une personne interne à une installation de traitement des eaux usées en Australie. Un employé mécontent, Vitek Boden, a utilisé du matériel volé pour accéder au contrôleur SCADA et déverser 800 000 litres d’eau d’égout non traitée dans les voies navigables de Maroochy Shire, ont rapporté des médias à l’époque.
Les fonctionnaires municipaux ont déclaré que les résidents n’ont jamais été en danger, car le changement a été rapidement détecté et inversé. Même si le changement n’avait pas été inversé, les fonctionnaires ont déclaré que le personnel de la station d’épuration avait été préparé pour prendre en charge les conditions dangereuses avant que l’eau ne soit livrée aux foyers et aux entreprises.
L’avis du FBI a exhorté les administrateurs des technologies de l’information à s’assurer que les ordinateurs sont à jour et que les mots de passe sont sécurisés. « Microsoft, le FBI et d’autres professionnels de l’industrie recommandent fortement de mettre à jour les systèmes informatiques pour en faire un système d’exploitation activement soutenu », indique la notification. Ne pas le faire « présente des vulnérabilités que les pirates informatiques peuvent exploiter ».
Après l’incident de vendredi, les responsables d’Oldsmar ont désactivé le système d’accès à distance et ont averti les autres dirigeants des villes de la région de vérifier leurs systèmes.
Chris Sistrunk, directeur technique de la division Mandiant de FireEye a déclaré, selon AP News, que les problèmes de cybersécurité sont relativement nouveaux pour les services d’eau américains, dont les plus gros problèmes sont les tuyaux qui gèlent et éclatent en hiver ou qui se bouchent avec des lingettes jetables. Le piratage d’Oldsmar souligne la nécessité d’une formation plus poussée et de protocoles de sécurité de base, mais pas de mesures draconiennes telles que l’adoption de nouvelles réglementations.
« Nous devons faire quelque chose, nous ne pouvons pas ne rien faire. Mais nous ne pouvons pas réagir de manière excessive », a-t-il déclaré.
source : developpez