le Département américain de la sécurité intérieure a visé aujourd’hui les nombreux reportages des médias sur un incident de piratage qui a conduit à une panne d’équipement dans un système d’eau dans l’Illinois, notant qu’il y avait peu de preuves pour étayer l’un des détails clés de ces histoires – y compris l’implication de pirates russes ou que la panne à l’installation était le résultat d’un cyberincident.
La semaine dernière, des extraits d’un rapport intitulé « Public Water District Cyber Intrusion » assemblé par un centre d’alerte précoce contre le terrorisme de l’Illinois ont été publiés en ligne. Les médias ont rapidement repris l’incident décrit, le qualifiant de « première cible réussie d’une cyberattaque contre un ordinateur d’un service public ». Mais dans un e-mail envoyé aux responsables de l’État, locaux et de l’industrie tard dans la journée, le DHS Équipe d’intervention en cas d’urgence cybernétique des systèmes de contrôle industriels (ICS-CERT) a déclaré qu’après une analyse détaillée, le DHS et le FBI « n’ont trouvé aucune preuve d’une cyber-intrusion dans le système SCADA du District public des eaux de Curran-Gardner à Springfield, Illinois. L’ICS-CERT poursuit :
«Il n’y a aucune preuve pour étayer les affirmations faites dans le rapport initial du Fusion Center – qui était basé sur des données brutes et non confirmées et qui ont ensuite été divulguées aux médias – que des informations d’identification ont été volées ou que le fournisseur a été impliqué dans une activité malveillante qui a conduit à une panne de pompe à l’usine d’eau », indique l’alerte ICS-CERT. « En outre, le DHS et le FBI ont conclu qu’il n’y avait pas de trafic malveillant ou non autorisé en provenance de Russie ou d’entités étrangères, comme indiqué précédemment. L’analyse de l’incident est en cours et des informations pertinentes supplémentaires seront publiées dès qu’elles seront disponibles.
La déclaration est la plus ferme à ce jour du DHS réfutant le cyberincident présumé dans l’Illinois. L’histoire a éclaté le 17 novembre, quand Joe Weissassocié gérant de Solutions de contrôle appliquéesun consultant en sécurité pour l’industrie des systèmes de contrôle, a publié un article de blog à propos d’une révélation qu’il a rapportée avoir lu d’un centre de renseignement sur le terrorisme d’État au sujet d’une cyber-intrusion dans une usine d’eau locale qui a entraîné l’épuisement d’une pompe à eau. L’effraction aurait permis à des intrus de manipuler le système de contrôle de supervision et d’acquisition de données, ou « SCADA » des réseaux qui permettent aux opérateurs d’usine de gérer à distance des parties de l’installation via Internet. Quelques heures après cette publication, les médias couvrant l’histoire s’étaient concentrés sur le district hydraulique de Curran-Gardner comme source du rapport.
Weiss a refusé à plusieurs reprises de partager ou de publier le rapport, mais il en a cité de grandes parties dans mon histoire de la semaine dernière. Le langage et les détails qui y sont rapportés contrastent fortement avec la version des événements du DHS. Selon Weiss, le rapport, marqué comme sensible mais non classifié, déclarait :
« Au cours de la journée du 8 novembre 2011, un employé du district des eaux a remarqué des problèmes avec un système SCADA. Une société de services et de réparation de technologies de l’information a vérifié les journaux informatiques du système SCADA et a déterminé que le système avait été piraté à distance à partir d’une adresse de fournisseur Internet située en Russie. Le système SCADA utilisé par le district de l’eau a été produit par une société de logiciels basée aux États-Unis. On pense que les pirates ont acquis un accès non autorisé à la base de données de la société de logiciels et ont récupéré les noms d’utilisateur et les mots de passe de divers systèmes SCADA, y compris les systèmes de district d’eau.
« Sur une période de 2 à 3 mois, des problèmes mineurs ont été observés dans l’accès à distance au système SCADA du district de l’eau. Récemment, le système SCADA s’allumait et s’éteignait, entraînant l’épuisement d’une pompe à eau. »
« Cette intrusion dans le réseau est la même méthode d’attaque que celle utilisée récemment contre le serveur MIT », a déclaré l’alerte du district des eaux. « L’attaque du district de l’eau et l’attaque du MIT avaient toutes deux des références à PHPMyAdmin dans les fichiers journaux des systèmes informatiques. On ne sait pas pour le moment le nombre de noms d’utilisateur et de mots de passe SCADA acquis à partir de la base de données de l’éditeur de logiciels, et si des systèmes supplémentaires ont été attaqués à la suite de ce vol. »
Weiss blogué sur la déclaration ICS-CERT, et a déclaré qu’il ne pouvait pas comprendre comment les deux comptes pouvaient être si différents. Il note que le lendemain de son article de blog, Don Cravenprésident du Curran-Gardner Water District, a été cité sur un journal local ABC Nouvelles interview télévisée affiliée disant qu’il y avait « certaines indications qu’il y avait une sorte de violation dans un logiciel, un système SCADA, qui permet l’accès à distance aux puits et aux pompes et ce genre de choses » (voir la vidéo ci-dessous).
« La vraie chose qui me dérange, c’est comment pourrait-il y avoir une telle quantité d’informations fournies alors que beaucoup d’entre elles sont vraiment une simple situation oui ou non », a déclaré Weiss. « Y avait-il un Russe [Internet] adresse impliqué ou n’était pas là? L’usine de l’Illinois a également déclaré que son technicien avait observé ces anomalies pendant 2 à 3 mois. Eh bien, soit il l’a fait, soit il ne l’a pas fait.
Le communiqué de l’ICS-CERT a également mentionné un autre incident de piratage présumé d’une installation d’eau au Texas qui a été largement rapporté la semaine dernière. Lors de cet incident, un pirate informatique utilisant le surnom de « pr0f » a affirmé avoir eu accès à une usine de systèmes de contrôle de l’eau et a publié une série de captures d’écran pour prouver son exploit.
Concernant le piratage présumé au Texas, l’ICS-CERT dirait seulement qu’il enquête toujours :
« Dans un incident distinct, un pirate informatique a récemment affirmé avoir accédé à un système de contrôle industriel responsable de l’approvisionnement en eau d’un autre service public américain », a poursuivi l’alerte ICS-CERT. « Le pirate a publié une série d’images prétendument obtenues à partir du système. ICS-CERT aide le FBI à recueillir plus d’informations sur cet incident. L’ICS-CERT n’a reçu aucun rapport supplémentaire de fabricants de SCI touchés ou d’autres parties prenantes liées aux SCI liées à ces événements. Si le DHS ICS-CERT identifie des informations sur les impacts possibles sur d’autres entités, il diffusera des informations d’atténuation en temps opportun dès qu’elles seront disponibles. ICS-CERT encourage les membres de la communauté des systèmes de contrôle industriels qui suspectent ou détectent toute activité malveillante contre/impliquant des systèmes de contrôle à contacter ICS-CERT.
Mon histoire de la semaine dernière citée Michel Assanteprésident et chef de la direction de Conseil national des examinateurs de la sécurité de l’information et un ancien chef de la sécurité pour le Société nord-américaine de fiabilité électrique (NERC), craignant que les rapports initiaux sur les incidents SCADA liés à la cybersécurité se révèlent souvent inexacts.
Mais Weiss a déclaré que l’inversion complète n’avait aucun sens et que « quelque chose ne sentait pas bon ». À titre d’exemple, il souligne le fait que si les reportages des médias sur le prétendu piratage de l’installation du Texas ont fait l’actualité d’aujourd’hui Rapport quotidien sur les infrastructures du DHSl’incident de l’Illinois est visiblement absent de toutes les éditions récentes de ce rapport.
« Ce que cela signifie essentiellement, c’est que les centres de renseignement de l’État ne devraient rien publier à moins que le DHS ne l’approuve », a déclaré Weiss à BreachTrace. « Cela dit que soit l’Illinois est incompétent, soit le DHS cache quelque chose. »
Centres de fusion d’État, dont la plupart ont été formés dans le cadre d’un projet conjoint entre le DHS et le ministère de la Justice entre 2003 et 2007, collectent des données auprès de sources gouvernementales et du secteur privé. Certains des centres ont produit des avertissements qui ont été un peu controversé. Par exemple, un rapport en 2009 du Virginia Fusion Center a averti que certains collèges historiquement noirs étaient des centres potentiels d’activités liées au terrorisme et a identifié le hacktivisme comme une forme de terrorisme.