empoisonnement de l'eau potable

Les dossiers Sentryo vous proposent de revenir sur une cyberattaque ayant conduit à l’empoisonnement de l’eau potable dans l’État de Georgie aux États-Unis.

Privés d’eau potable suite à l’attaque d’une station d’épuration

En 2013, des individus ont réussi à pénétrer dans l’enceinte d’une station de traitement des eaux pour en modifier les réglages. 400 résidents du comté de Murray, Georgie, ont été privés d’eau potable pendant plusieurs jours.

Introduction physique dans la station de traitement des eaux

Pas de cheval de Troie ni de porte dérobée dans cette cyberattaque : les attaquants ont « tout simplement » pénétré dans l’enceinte de l’installation en passant par-dessus les barbelés ! Aucune effraction n’a été relevée sur les portes et fenêtres du bâtiment de contrôle des opérations. De plus, les véhicules des employés équipés de GPS attestent de leur absence à proximité de l’infrastructure durant l’intrusion des malfaiteurs.

Du chlore et du fluor à des doses toxiques

Les attaquants ont eu accès aux organes de réglage du système de supervision de la station, et ont ainsi pu modifier les taux de chlore et de fluor ajoutés normalement à l’eau pour l’assainir.

Une population privée d’eau

La société gestionnaire de l’unité de traitement des eaux a dû informer la population et les autorités sanitaires ont pris un arrêté d’interdiction de consommation de l’eau. Plus de 400 habitants alimentés par la station de traitement se sont retrouvés privés d’eau potable durant plusieurs jours.

Sécuriser un système industriel sensible contre les risques d’intrusion physique

Le mode opératoire de l’intrusion montre que la sécurité des accès physiques à une infrastructure sensible est un paramètre à ne pas négliger lors de la sécurisation des systèmes industriels.

Les mesures de protection

Pour se prémunir d’une telle attaque, plusieurs mesures de protection peuvent être prises :

  • un contrôle des accès physiques renforcé : les barbelés entourant la station de traitement des eaux n’ont pas suffi à empêcher les attaquants de pénétrer dans l’enceinte ;
  • une surveillance des zones à risques permettant de détecter des intrusions malveillantes et éventuellement d’identifier les malfaiteurs ;
  • une révocation des accès au départ d’un employé pour éviter qu’il puisse pénétrer sur le site après avoir quitté l’entreprise ;
  • une supervision de la sécurité du site industriel et des systèmes informatiques afin de repérer des changements de paramètres suspects comme le réglage des taux de chlore et de fluor dans l’eau.
Des conséquences potentiellement graves
Les résidents du comté de Murray ont mal vécu cette privation d’eau de plusieurs jours : ils ont pourtant échappé au pire. Les conséquences sanitaires occasionnées par l’eau empoisonnée auraient pu être beaucoup plus graves si l’équipe d’employés du week-end n’avait pas détecté les modifications de réglage sur les équipements de traitement chimique des eaux.

Les infrastructures sensibles, à l’instar des opérateurs d’importance vitale, ont besoin d’être sécurisées par des solutions adaptées, pour se protéger contre les intrusions physiques et les risques de cyberattaques à distance.

Pour aller plus loin

Retrouvez le compte-rendu d’une autre cyberattaque sur une station d’épuration de l’eau en 2015.

Sources : Fiches réalisées par le groupe de travail SCADA du Clusif en 2017.

http://www.wrcbtv.com/story/22110812/fbi-investigating-treament-plant-breakin-do-not-drink-order-in-place