Le fonctionnement des infrastructures critiques dépend de plus en plus des technologies numériques. Ces mêmes technologies numériques peuvent également potentiellement mettre en danger les infrastructures critiques.
L’eau fait partie des éléments les plus importants des infrastructures. De ce fait, il représente également une cible lucrative pour les cyberattaquants. Une attaque contre une infrastructure critique peut avoir de graves conséquences sur la vie des individus, des familles et des entreprises.
Le 3 octobre 2024, American Water a été piratée lors de ce qui semble être une cyberattaque importante. L’attaque impliquait un accès non autorisé aux réseaux et systèmes informatiques d’American Water. American Water a répondu à l’attaque en fermant certains de ses systèmes afin d’éviter tout risque supplémentaire pour ses systèmes. Le type précis d’attaque n’a pas été initialement divulgué par American Water, bien que certaines premières spéculations prétendent qu’il s’agissait d’une attaque de ransomware.
L’incident a une fois de plus soulevé des inquiétudes quant à la vulnérabilité des infrastructures critiques aux menaces numériques et mis en évidence les défis persistants liés à la sécurisation des services essentiels contre l’évolution des cyber-risques. Le gouvernement américain est particulièrement préoccupé par cette question depuis un certain temps, avertissant en mai 2024 que les menaces pesant sur les infrastructures critiques sont graves.
Qu’est-ce que l’eau américaine ?
American Water est l’une des plus grandes sociétés de services publics d’eau et de traitement des eaux usées aux États-Unis.
La société a été fondée en 1886 sous le nom d’American Water Works & Garantie Company et fournit de l’eau potable, la gestion des eaux usées et d’autres services connexes à environ 14 millions de personnes dans 14 États. Elle fournit également des services à 18 installations militaires à travers le pays. La société opère par l’intermédiaire de filiales réglementées dans chaque État.
American Water possède et exploite un vaste réseau d’installations qui comprend des usines de traitement des eaux de surface, des usines de traitement des eaux souterraines et des usines de traitement des eaux usées. American Water exploite également plus de 53 000 milles de conduites principales et de canalisations de transport, de distribution et de collecte.
Quelle est la nature de la cyberattaque ?
Au 10 octobre 2024, tous les détails de la cyberattaque d’American Water n’avaient pas été divulgués publiquement.
Ce que l’on sait, c’est qu’American Water a pris connaissance d’activités non autorisées sur ses réseaux et systèmes informatiques le 3 octobre 2024. American Water a qualifié cette activité non autorisée d’« incident de cybersécurité », mais le type ou la méthode spécifique d’attaque n’a pas été divulgué.
Une activité non autorisée fait généralement référence à un acteur menaçant qui accède d’une manière ou d’une autre à un système et exécute une certaine forme d’action. Cette action peut prendre diverses formes, notamment le déploiement d’un ransomware, la divulgation d’informations personnellement identifiables ou toute autre forme d’action susceptible de perturber les opérations d’une entreprise.
Qui a été touché ?
Compte tenu de l’utilisation généralisée des services d’American Water à travers les États-Unis, la cyberattaque contre American Water est susceptible d’affecter de nombreuses personnes et organisations, notamment les suivantes :
- Plus de 14 millions de personnes réparties dans 14 États et 18 installations militaires.
- Employés et parties prenantes d’American Water.
Bien que l’entreprise ait déclaré que ses installations et opérations d’eau et de traitement des eaux usées ne sont pas affectées par l’incident, la perturbation des systèmes destinés aux clients a affecté le service.
Chronologie de l’attaque
- 3 octobre 2024 : American Water a détecté des activités non autorisées au sein de ses réseaux et systèmes informatiques.
- 3-7 octobre 2024 : L’entreprise a activé des protocoles de réponse aux incidents, engagé des experts en cybersécurité et informé les forces de l’ordre.
- 7 octobre 2024 : American Water a divulgué publiquement la cyberattaque via un dépôt auprès de la SEC et une déclaration sur son site Web.
- À partir du 8 octobre 2024 : Les efforts d’enquête et de récupération se poursuivent, les systèmes restant hors ligne et les opérations de facturation suspendues.
Qui était responsable de l’attaque ?
Au 10 octobre 2024, l’attribution de l’attaque n’a pas été établie.
American Water travaille aux côtés d’experts en matière d’application de la loi et de cybersécurité tiers pour déterminer la nature et la portée de l’attaque, ainsi que pour en déterminer l’attribution.
Parmi les sources potentielles de l’attaque figurent des acteurs étatiques. Les installations hydrauliques américaines auraient été violées en 2023 et en 2024 par des cyberattaquants soutenus par la Russie, la Chine et l’Iran.
Quel est l’impact de cette attaque ?
L’attaque a affecté American Water de plusieurs manières, notamment :
- Arrêts du système. American Water a dû fermer certains systèmes, notamment son portail client en ligne – MyWater.
- Perturbation du service client. Avec la fermeture du portail en ligne, les clients ont perdu l’accès à la plateforme libre-service.
- Suspension de facturation. L’entreprise a suspendu ses fonctions de facturation, ce qui perturbe encore davantage les clients. American Water a révélé qu’elle ne facturerait aucun frais de retard ni aucun autre frais lié à la facturation lorsque le système serait en panne.
- Violation potentielle des données. Bien que cela ne soit pas confirmé, il existe un risque que les données des clients aient été compromises.
- Dommage à la réputation. En tant que fournisseur d’infrastructures critiques, la confiance du public dans la capacité d’American Water à protéger ses systèmes et les données de ses clients pourrait être affectée.
American Water a déclaré que l’entreprise ne pensait pas qu’aucune de ses installations d’approvisionnement en eau ou de traitement des eaux usées n’ait été affectée négativement par l’incident. L’entreprise n’a signalé aucun compromis concernant la qualité de l’eau ou la prestation de services.
Comment cela se compare-t-il aux autres attaques d’infrastructure ?
Les attaques contre des infrastructures critiques – en particulier contre les installations d’approvisionnement en eau – ne constituent malheureusement pas un phénomène unique. Au cours des dernières années, de multiples attaques ont eu lieu, affectant à la fois les opérations et les clients.
Incident | Date | Nature de l’attaque | Impact | Auteurs présumés |
Américain | octobre 2024 | Non autorisé | Arrêt de la plateforme de service client et des opérations de facturation ; les opérations d’approvisionnement en eau ne sont pas affectées | Inconnu (enquête en cours) |
Infiltration chinoise | Février 2024 | Infiltration de cyberinfrastructures | Potentiel de dommages aux infrastructures critiques | Chinois |
Muleshoe, Texas, piratage d’une installation d’eau | janvier 2024 | Débordement du réservoir d’eau provoqué | Le réservoir a débordé pendant 30 à 45 minutes ; aucun impact sur l’eau potable | Pirates informatiques liés à la Russie |
Piratage de l’eau municipale de Veolia Amérique du Nord | janvier 2024 | Vol de données | Systèmes back-end et diverses applications logicielles mis hors ligne ; informations personnelles volées | Inconnu (enquête en cours) |
Piratage du district municipal des eaux du nord du Texas | novembre 2023 | Vol de données | Opérations perturbées ; système téléphonique affecté ; aucun impact sur les services d’eau | Équipe Daixin (groupe de cybercriminalité) |
Attaque de l’Autorité municipale des eaux d’Aliquippa | novembre 2023 | Violation d’équipement industriel | Une station de pompage actionnée manuellement ; aucun impact sur la qualité de l’eau ou sur le service | Cyber Av3ngers (groupe pro-Iran) |
Attaque de rançongiciel Colonial Pipeline | mai 2021 | Attaque de rançongiciel | Pipeline arrêté pour | Côté obscur |
Oldsmar | Février 2021 | Tentative de manipulation des niveaux de produits chimiques | Aucun impact (capté rapidement) ; empoisonnement potentiel de l’approvisionnement en eau | Inconnu |
L’EPA met en garde contre des vulnérabilités alarmantes en matière de cybersécurité
Plusieurs agences du gouvernement américain ont mis en garde contre le potentiel de vulnérabilités en matière de cybersécurité contre les infrastructures critiques.
En janvier 2024, plusieurs agences, dont la Cybersecurity and Infrastructure Security Agency, le FBI et l’Environmental Protection Agency, ont publié un guide commun sur la réponse aux incidents pour les services d’eau. En mai 2024, l’EPA a donné suite à une alerte décrivant ce qu’elle a appelé les menaces et vulnérabilités urgentes en matière de cybersécurité liées au système d’eau potable des États-Unis. L’un des principaux objectifs de l’avertissement de l’EPA était d’aider à garantir le respect de l’article 1433 de la Safe Drinking Water Act (SDWA), qui détaille la nécessité d’évaluations mises à jour des risques et de la résilience, ainsi que de plans d’intervention d’urgence.
L’alerte donne un aperçu de l’état des systèmes d’eau, ainsi que quelques recommandations. Il détaille les éléments suivants :
- Vulnérabilités généralisées. Plus de 70 % des systèmes d’eau inspectés ne sont pas entièrement conformes aux exigences de cybersécurité de la SDWA en vertu de l’article 1433.
- Non-conformité. Depuis 2020, l’EPA a pris plus de 100 mesures d’application de la SDWA contre les systèmes d’eau communautaires pour violations de l’article 1433.
- Recommandations. L’agence recommande plusieurs actions pour les systèmes d’eau, notamment la réduction de l’exposition à l’Internet public, la réalisation régulière d’évaluations de cybersécurité et la modification des mots de passe par défaut.
Sean Michael Kerner est un consultant informatique, passionné de technologie et bricoleur. Il a sorti Token Ring, configuré NetWare et est connu pour compiler son propre noyau Linux. Il consulte l’industrie et les organisations médiatiques sur les questions technologiques.