Décrivant les attaques réelles contre les secteurs de l’eau, du pétrole, du gaz et de l’agriculture, le Centre pour la cybersécurité du Canada met en évidence les risques liés aux appareils ICS exposés sur Internet.
Les experts en sécurité mettent depuis longtemps en garde contre les dangers liés à l’exposition des systèmes de contrôle industriel (ICS) à Internet, où ils peuvent devenir des cibles faciles pour les groupes menaçants et les hacktivistes affiliés au gouvernement. Dans une nouvelle alerte exhortant les RSSI à agir, le Centre pour la cybersécurité du gouvernement canadien fournit des exemples récents d’attaques réelles qui ont eu un impact sur les opérations d’une installation d’eau, d’une société pétrolière et gazière et d’une ferme.
« Même si les organisations individuelles ne sont peut-être pas des cibles directes des adversaires, elles peuvent devenir des victimes d’opportunités dans la mesure où les hacktivistes exploitent de plus en plus les appareils ICS accessibles sur Internet pour attirer l’attention des médias, discréditer les organisations et miner la réputation du Canada », a prévenu l’agence cette semaine.
Attaques impactant l’approvisionnement en eau
Lors d’un incident, des pirates ont eu accès à un système de contrôle utilisé par une société de distribution d’eau et ont falsifié les valeurs de pression de l’eau, ce qui a eu un impact négatif sur le service aux clients.
Cela fait écho à des incidents similaires survenus aux États-Unis ces dernières années. En 2023, un groupe hacktiviste lié à l’Iran, connu sous le nom de Cyber Av3ngers, a pris le contrôle d’un système de contrôle industriel appartenant à la Municipal Water Authority d’Aliquippa en Pennsylvanie. Le système a également été utilisé pour réguler la pression de l’eau, mais l’intrusion a été détectée avant que l’approvisionnement en eau ne soit touché.
En 2021, un pirate informatique a utilisé une connexion à distance TeamViewer pour accéder à un système de contrôle dans une usine de traitement d’eau à Oldsmar, en Floride. L’attaquant a modifié les niveaux d’hydroxyde de sodium, communément appelé lessive, ajoutés à l’eau, les augmentant ainsi de plus de 100 fois. Heureusement, l’attaque a été détectée et le changement a été immédiatement annulé par les exploitants de l’usine. Une attaque très similaire s’est produite dans une usine de traitement des eaux desservant certaines parties de la région de la baie de San Francisco.
Les cyberattaques contre les services d’eau en particulier ont considérablement augmenté au cours de l’année écoulée, les pirates informatiques affiliés ou soutenant l’Iran, la Russie et la Chine manifestant tous leur intérêt pour ces systèmes.
Des jauges de réservoir de carburant piratées peuvent conduire à des situations dangereuses
Lors d’un autre incident signalé par le Centre canadien pour la cybersécurité, des attaquants ont accédé à une jauge de réservoir automatisée (ATG) exposée sur Internet appartenant à une société pétrolière et gazière canadienne et ont manipulé ses valeurs, déclenchant de fausses alarmes.
Les ATG sont utilisés pour surveiller le niveau de carburant, la pression et la température à l’intérieur des réservoirs de carburant. Ils sont également conçus pour détecter les fuites potentielles et déclencher des contre-mesures, et sont déployés dans les stations-service, les centrales électriques, les aéroports et même les bases militaires. L’année dernière, les chercheurs ont révélé des vulnérabilités critiques et de haute gravité dans six modèles ATG de cinq fabricants et ont noté que plus de 6 000 ATG étaient directement exposés à Internet sans authentification à ce moment-là.
L’approvisionnement alimentaire peut également être affecté
Un troisième incident constaté par l’agence gouvernementale canadienne concernait des équipements contrôlant les niveaux de température et d’humidité dans un silo de séchage de grains appartenant à une ferme canadienne. La manipulation de ces niveaux aurait pu entraîner des conditions potentiellement dangereuses si elles n’avaient pas été détectées à temps.
Ces incidents mettent en évidence la diversité des organisations, des industries et des installations qui pourraient être touchées par des pirates informatiques opportunistes, avec parfois de graves conséquences potentielles pour la sécurité et la santé humaines. L’augmentation de l’activité hacktiviste contre ICS a également incité l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA), ainsi que d’autres agences gouvernementales, à émettre une alerte aux propriétaires d’actifs de technologie opérationnelle (OT) l’année dernière.
Les organisations ont un besoin légitime de gérer et de surveiller à distance leurs systèmes de contrôle industriel. Cependant, cela devrait se faire via des protocoles sécurisés et testés tels que les VPN avec authentification multifacteur, plutôt que d’exposer les interfaces de contrôle directement à Internet. Cela s’applique aux automates programmables (PLC), aux unités de terminaux distants (RTU), aux systèmes de contrôle de supervision et d’acquisition de données (SCADA), aux interfaces homme-machine (IHM), aux systèmes instrumentés de sécurité (SIS), aux systèmes de gestion de bâtiment (BMS) et aux appareils Internet des objets industriels (IIoT).
« Les gouvernements provinciaux et territoriaux sont encouragés à se coordonner avec les municipalités et les organisations relevant de leur juridiction pour garantir que tous les services sont correctement inventoriés, documentés et protégés », a déclaré le Centre canadien pour la cybersécurité dans son alerte. « Cela est particulièrement vrai pour les secteurs où la surveillance réglementaire ne couvre pas la cybersécurité, comme l’eau, l’alimentation ou l’industrie manufacturière. »
L’alerte de l’agence contient des liens vers plusieurs documents contenant des conseils de sécurité généraux et spécifiques à l’ICS.
