La vulnérabilité des systèmes SCADA augmente !

Il y a quelques jours, un site américain de retraitement de l'eau a été victime d'une cyber-attaque via le système SCADA (Supervisory Control and Data Acquisition). Un porte-parole du Département américain à la sécurité intérieure (Department of Homeland Security - DHS) a confirmé l'incident, en précisant qu'il était encore trop tôt pour dire si c'était ou non le résultat d'une cyber-attaque. Mais, un hacker nommé « pr0f » a posté sur Pastebin plusieurs images prétendant prouver qu'il avait réussi à s'introduire dans le système SCADA de la ville de South Houston. Le hacker indique que son post est motivé par le fait que le DHS a tenté de minimiser l'incident de Springfield.
Joseph Weiss, directeur adjoint d'Applied Control Systems (ACS) et auteur du livre Protéger les systèmes de contrôle industriels contre la menace informatique, dit que la défaillance de la pompe de Springfield a eu lieu le 8 novembre. «La pompe a grillé après que le système SCADA chargé de la contrôler a commencé à s'allumer et s'éteindre par intermittence,» a expliqué Joseph Weiss, citant le rapport intitulé «Cyber intrusion dans les services publics de l'eau», qu'il a obtenu. «Il y a deux ou trois mois, les employés de l'usine avaient signalé des dysfonctionnements qualifiés de mineurs», a relaté le directeur adjoint d'ACS. Il ajoute : «Une enquête menée après ces pannes avait montré que le système SCADA avait été visité par une personne utilisant un ordinateur avec une adresse IP basée en Rus- sie». On suppose que les attaquants ont obtenu les noms d'utilisateur et les mots de passe du système en s'introduisant dans un ordinateur appartenant à l'un des revendeurs de logiciels SCADA. Ceux-ci conservent souvent la liste des utilisateurs et des mots de passe pour pouvoir intervenir à distance et faire de la maintenance auprès de leurs clients. Avec ces identifiants de connexion, n'importe qui peut accéder au système du client, et c'est ce qui s'est passé ici, semble-t-il. «Nous pensons que le fournisseur du logiciel SCADA a été piraté et que les noms d'utilisateur et les mots de passe de ses clients ont été volés,» a déclaré Joseph Weiss dans un blog. Le directeur d'ACS, dont l'ouvrage fait état d'attaques similaires à travers le monde, a estimé que le Department of Homeland Security devait communiquer davantage pour avertir les autres usines de la possibilité d'une attaque. «L'incident a été révélé par un organisme d'Etat, mais pas par le système d'alerte Water ISAC (Water Information Sharing and Analysis Center), ni dans le rapport quotidien DHS Daily, ni le CERT américain spécialisé dans les systèmes de contrôle industriels (ICS-CERT), etc.», explique-t-il sur son blog. «Par conséquent, aucun des services des eaux que j'ai contactés n'était au courant de l'incident survenu à Springfield». Une source proche du Département à la sécurité intérieure fait remarquer que l'agence n'omet pas toujours de partager ses informations concernant les cyber-incidents. «Dans le cas présent, la justice est toujours en train d'enquêter sur la défaillance de la pompe, si bien que l'agence n'est pas encore en mesure de confirmer si elle a été causée ou non par une cyber-attaque», a-t-il déclaré. L'information concernant l'attaque est apparue quelques semaines après la découverte de Duqu, un cheval de Troie spécifiquement conçu pour voler des informations aux fournisseurs de systèmes SCADA. Les éditeurs de solutions de sécurité pensent que le malware est utilisé pour recueillir des informations et aider les pirates à concevoir un autre ver semblable à Stuxnet, qui avait été utilisé l'an dernier pour perturber les opérations de l'usine nucléaire de Natanz en Iran. Au moment de la découverte de Duqu, certains experts en sécurité craignaient qu'il puisse être utilisé pour voler des informations de connexion sur les clients chez les fournisseurs SCADA. Mais rien n'indique pour l'instant qu'il existe un lien entre Duqu et l'incident survenu à Springfield.