Cyberattaques contre l’eau potable

Une attaque informatique visant à empoisonner l’eau potable a été déjouée de justesse dans une ville de Floride, annonçaient lundi les autorités américaines. Après les faiblesses mises au jour par les différents ransomwares, la vulnérabilité des systèmes d’information dans des infrastructures critiques, comme la distribution de l’eau, pose question.

Boire de l’eau du robinet aurait pu gravement nuire à la santé des habitants d’Osldsmar, dans le comté de Pinellas, en Floride. Dans la matinée du 5 février 2021, l’eau potable de la ville côtière a été chargée de 11 100 parties par million (ppm) d’hydroxyde de sodium – soude caustique – au lieu des 100 ppm habituelles. « Quelqu’un a piraté le système non pas une, mais deux fois… », a déclaré Bob Gualtieri. Sans l’intervention rapide des employés, les conséquences pouvaient être graves. En effet, le fait d’ingérer de l’hydroxyde de sodium, utilisé pour contrôler l’acidité de l’eau, peut brûler les lèvres, la langue, la gorge et l’estomac en provoquant des dommages irréversibles. Dans les cas les plus graves, les victimes peuvent décéder.

Lors d’une conférence de presse, le shérif du comté de Pinellas, Bob Gualtieri, a déclaré qu’un opérateur légitime avait vu le changement et l’avait rapidement annulé, mais ce dernier avait signalé que la tentative de piratage comme une menace sérieuse pour l’approvisionnement en eau de la ville. Le policier se montrait de suite rassurant. « L’approvisionnement en eau n’a pas été affecté de manière significative, le public n’a jamais été en danger. Il aurait fallu entre 24 et 36 heures pour que l’eau infectée atteigne le système de distribution de la ville », expliquait-il. Le bureau du shérif du comté a ouvert une enquête criminelle avec le FBI et les services secrets, a déclaré Gualtieri.

Problème de sécurité nationale

Le sénateur de Floride, Marco Rubio s’est empressé de tweeter : « Je demanderai au FBI de fournir toute l’assistance nécessaire dans le cadre d’une enquête visant à empoisonner l’approvisionnement en eau d’une ville de Floride. Cela devrait être traité comme une question de sécurité nationale. » 

Cette attaque fait écho à un article écrit en juin 2016, sur le site Partage des eaux. En mars 2016, l’Américain Verizon avait fait état de l’attaque d’une usine d’eau potable, ou les belligérants avaient modifié les quantités des composants chimiques présents dans l’eau. En octobre 2016, c’est au tour de l’agence de l’eau du Rhin Meuse d’être une victime. Durant l’année 2017 en Italie, un Marocain voulait empoisonner l’eau potable de Rome. Un an plus tard, c’est en Sardaigne qu’une menace similaire se tenait. En avril 2020, le système d’approvisionnement en eau en Israël avait subi des tentatives d’intrusions, déjouées. Elle donne également à parler du ver informatique Stuxnet découvert en 2010. Il aurait été conçu pour s’attaquer aux centrifugeuses d’enrichissement d’uranium, afin de ralentir le programme nucléaire iranien, connu sous le nom de l’opération « Olympics Games ». Ce dernier a la capacité de reprogrammer des automates programmables industriels (API). Certains automates sont utilisés pour la distribution d’eau potable ou les oléoducs.