Le 5 février dernier, le système de traitement de l'eau de la ville d'Oldsmar en Floride a été la victime d'une intrusion informatique. Via la plateforme de système de contrôle industriel, un attaquant a tenté d'empoisonner l'approvisionnement en eau potable en augmentant la concentration d'hydroxyde de sodium.

Avec la vigilance d'un opérateur de la plateforme, cet incident a été sans conséquence. Le cas échéant, des mesures de contrôle automatisé auraient également déclenché une alerte. Néanmoins, un avis de cybersécurité de l'État du Massachusetts est accablant.

À destination des fournisseurs d'eau publics, il confirme l'information selon laquelle l'attaquant a eu accès aux commandes du système industriel de télésurveillance et d'acquisition de données de l'usine de traitement d'eau potable via TeamViewer.

robinet-eau

Une rigueur de sécurité informatique aux oubliettes

Installée sur un des nombreux ordinateurs du personnel, cette solution aurait donc été le point d'entrée de l'attaquant avec un accès à distance. L'avis de cybersécurité détaille que tous les ordinateurs utilisés par le personnel de la station de traitement d'eau étaient connectés au système de contrôle industriel et étaient équipés d'une version 32 bits de Windows 7.

Outre ce vieux système d'exploitation sans support depuis janvier 2020, tous les ordinateurs partageaient le même mot de passe (le même mot de passe pour tous les employés) pour un accès à distance avec TeamViewer et avec une connexion directe à Internet, sans aucune protection par pare-feu.

Une alerte du FBI va dans le même sens en pointant du doigt des faiblesses en matière de cybersécurité, dont une mauvaise sécurité des mots de passe, un système d'exploitation Windows 7 obsolète et une solution TeamViewer de partage de bureau inadaptée dans le cadre d'un système critique.

De quoi permettre une attaque au final peu sophistiquée. Une question est de savoir si elle est d'origine interne ou externe.