CISA et l’Agence de protection de l’environnement (EPA) ont mis en garde aujourd’hui les installations d’eau pour sécuriser les Interfaces Homme-Machine (IHM) exposées à Internet contre les cyberattaques.
Les IHM sont des tableaux de bord ou des interfaces utilisateur qui aident les opérateurs humains à se connecter, surveiller et contrôler les machines et appareils industriels via des tablettes, des ordinateurs portables ou des écrans intégrés.
« En l’absence de contrôles de cybersécurité, les acteurs de la menace peuvent exploiter les IHM exposées dans les services publics du secteur WWS pour afficher le contenu de l’IHM, apporter des modifications non autorisées et potentiellement perturber le processus de traitement de l’eau et/ou des eaux usées de l’installation », ont déclaré les deux agences fédérales vendredi.
« Par exemple, en 2024, des hacktivistes pro-russes ont manipulé des IHM dans les systèmes d’approvisionnement en eau et de traitement des eaux usées, faisant en sorte que les pompes à eau et les équipements de soufflage dépassent leurs paramètres de fonctionnement normaux. Dans chaque cas, les hacktivistes ont maximisé les points de consigne, modifié d’autres paramètres, désactivé les mécanismes d’alarme et changé les mots de passe administratifs pour verrouiller les opérateurs des services d’eau », prévient un avis conjoint.
L’EPA et la CISA encouragent « fortement » les défenseurs des systèmes d’eau et d’assainissement à renforcer l’accès à distance aux IHM sur leurs réseaux en mettant en œuvre les mesures d’atténuation décrites dans l’avis d’aujourd’hui.
Les attaques qui compromettent avec succès de tels systèmes peuvent avoir un impact opérationnel majeur et forcer les organisations violées à revenir aux opérations manuelles. Par exemple, des cyberattaques ciblant les systèmes de l’usine de traitement des eaux de la ville d’Arkansas et American Water, la plus grande société américaine de distribution d’eau et d’eaux usées cotée en bourse, les ont forcés à passer en mode manuel en septembre et à fermer certains systèmes en octobre, respectivement.
Les infrastructures critiques de l’eau attaquées
L’usine d’eau de la ville d’Arkansas a été touchée seulement deux jours après que le Water Information Sharing and Analysis Center( WaterISAC), une organisation à but non lucratif qui aide à protéger les services d’eau contre les menaces physiques et cybernétiques, a publié un TLP:avertissement consultatif AMBRE des acteurs de la menace liés à la Russie ciblant le secteur américain de l’eau.
Cependant, ce ne sont que les dernières organisations d’infrastructures critiques du secteur de l’eau aux États-Unis qui ont été violées ces dernières années.
Des pirates informatiques du Volt Typhoon soutenus par la Chine se sont cachés dans le réseau d’un système d’eau potable pendant au moins cinq ans, tandis que des acteurs de la menace iraniens affiliés au CGRI ont pénétré dans une installation d’eau de Pennsylvanie en novembre 2023 en piratant des automates programmables Unitronics exposés en ligne.
En septembre, l’EPA a publié des directives pour aider les propriétaires et les exploitants d’usines d’eau à réduire leur vulnérabilité aux cyberattaques, juste après que l’Office of Foreign Assets Control (OFAC) du département du Trésor ait sanctionné deux cybercriminels russes en juillet pour avoir violé des installations d’eau américaines.
En mars, l’agence a également alerté les gouverneurs américains en collaboration avec la Maison Blanche que les pirates informatiques ciblent les infrastructures critiques du secteur de l’eau du pays. Cet avertissement est intervenu un mois après que l’EPA a partagé des conseils pour se défendre contre les cyberattaques sur les installations hydrauliques.