Nous avons fait état plus tôt cette semaine d'une attaque contre l'approvisionnement en eau à Oldsmar, en Floride, et nous nous inquiétons de la possibilité d'attaques futures et d'imitateurs contre d'autres systèmes de traitement de l'eau peu défendus dans de petites villes du monde entier et de ce qui peut être fait pour endiguer de telles incursions.
Dans le cas de la ville d’Oldsmar, les criminels ont utilisé des outils d'accès à distance pour prendre pied et modifier les niveaux de produits chimiques dans l'approvisionnement en eau, en les augmentant jusqu'à des niveaux potentiellement dangereux.
C'est inquiétant, notamment parce que les pirates informatiques devraient normalement acquérir des connaissances spécifiques sur les systèmes de gestion du traitement de l'eau, une cible démographique très spécifique. Il ne s'agit pas d'une attaque de type « pulvérisez et priez » (ou spray and pray); elle est ciblée et prend un certain temps pour être élaborée et déployée. Et même si cet incident n'était pas une attaque super furtive de type zero-day, il y a de fortes chances que quelqu'un se soit intéressé à la cible pendant un certain temps.
Du point de vue de l'attaquant (c'est-à-dire un attaquant intentionnel typique qui conçoit et exécute une attaque réfléchie et planifiée adéquatement), comment un tel scénario pourrait-il se dérouler?
Tout d'abord, les attaquants identifient la cible, ils recueillent des informations et élaborent un plan. Une fois l'accès obtenu, ils doivent ensuite parcourir le réseau à la recherche des systèmes de contrôle qui interagissent directement avec le processus de traitement de l'eau. Là encore, cela peut prendre beaucoup de temps et de planification.
Une fois les cibles potentielles identifiées, les attaquants doivent comprendre le rôle de ces cibles dans le processus chimique et l'accès de ces systèmes aux équipements physiques impliqués dans la production, qu'il s'agisse de vannes, de relais, de capteurs de niveau, de thermocouples ou d'autres contrôles.
Ils doivent ensuite élaborer une attaque spécifique dans le contexte qu'ils sont capables d'évaluer en cours de route, puis la lancer à un moment précis qui aurait les meilleures chances de succès, tout en maintenant un accès non détecté à tous les systèmes de la chaîne.
Dans le cas d'Oldsmar, une fois l'attaque lancée, il y avait d'autres systèmes en place qui fournissaient un retour d'information pouvant alerter le personnel à temps pour faire échouer l'attaque. C'est là la bonne nouvelle. La mauvaise nouvelle serait qu'ils auraient pu être attaqués en silence pendant des semaines ou des mois avant la tentative d'empoisonnement proprement dite et qu'ils ne le savaient pas.
Mon collègue Tony Anscombe se demande pourquoi l'installation Oldsmar n'a pas disposé d'un plan soigneusement examiné et mis en œuvre conformément aux directives sectorielles de la CISA pour les systèmes d'eau et de gestion des eaux usées, y compris des mesures comme l'authentification à deux facteurs (2FA) et des contrôles similaires. Il est très utile que ces lignes directrices soient mises à la disposition des petites municipalités pour qu'elles puissent se développer rapidement, même si elles n'ont pas accès à des ninjas de la cybersécurité au sein de leur personnel, ce qui peut s’avérer très coûteux si l’on considère le budget typique de petites villes.
Entre temps, attendez-vous à voir de futures tentatives d'exploitation contre d'autres municipalités. Les tentatives d'attaques de raçongiciel représentent une tendance qu’on devra suivre.
Que peuvent faire les petites villes? Elles devraient prendre le temps de comprendre et de mettre en œuvre les conseils disponibles, qui peuvent être aussi simples que l'ajout et l'application de la 2FA, le patching des systèmes, la mise en place de bons processus de contrôle des changements (selon les médias, TeamViewer a été remplacé comme solution d'accès à distance utilisée dans cette station d'épuration des eaux, mais il fonctionne toujours, exposant la station à l'Internet par le biais d'une interface non requise) et la formation du personnel à la cyberhygiène.
De plus, faites un exercice d'entraînement en supposant qu'il y ait une brèche et « pensez comme un pirate informatique » pour les empêcher d'entrer. C'est également une bonne idée de mettre en place un plan au cas où une attaque avec demande de rançon se produirait; de cette façon, les petites villes ne seront pas confrontées à la perspective intenable d'expliquer aux citoyens pourquoi ils ont simplement dépensé de l'argent public pour arrêter une attaque qui n'aurait pas dû se produire au départ.