Sur l’échelle des scénarios catastrophes, le spectre d’une attaque informatique d’ampleur visant les opérateurs industriels d’importance vitale se place assez facilement dans le haut du classement. Longtemps considérée comme hypothétique, cette éventualité se précise aujourd’hui. Verizon a ainsi publié son rapport Data Breach digest qui compile plusieurs retours d’expérience de son équipe RISK Team, qui effectue des missions d’inforensiques et d’audit en sécurité informatique pour les clients de l’opérateur télécom américain.
Dans son rapport, l’équipe RISK détaille notamment une de ses interventions auprès d’une société de traitement des eaux usées, dont l’anonymat est préservé par les auteurs qui la désignent sous le nom de Kemuri Water Company (KWC). Les employés de Verizon ont initié un audit de routine avec la DSI du groupe KWC et identifié un certain nombre de vulnérabilités au sein de l’infrastructure de KWC.
Ainsi, leur poste de contrôle Scada était en réalité un serveur IBM AS/400 qui hébergeait également l’ensemble des outils de paiement en ligne proposés par KWC à ses clients ainsi que le système financier de l’entreprise. Détail additionnel : les employés de KWC signalent également plusieurs comportements étranges sur différentes valves utilisées par l’usine de traitement des eaux. Des valves contrôlées notamment par le serveur IBM AS 400. « Soudainement, nous avons réalisé que l’investigation initiale cachait bien plus que prévu. Notre audit de routine ressemblait de plus en plus à une investigation. »
Plus de peur que de mal ? (pour l'instant)
Les employés de Verizon étendent ainsi leurs investigations et découvrent que des attaquants ont effectivement infecté le serveur IBM AS 400 via l’application de paiement en ligne hébergée sur celui-ci, dérobant les identifiants et informations de comptes des clients de la société de traitement des eaux. Mais les attaquants ont également profité de cet accès privilégié afin de jouer avec les systèmes de contrôles centralisés sur ce même serveur.
Verizon précise ainsi qu’ils ont pu modifier les volumes d’adjuvant chimiques dans l’eau à au moins deux reprises. Les attaquants ne semblaient pas connaître le fonctionnement de ce type de pompe et Verizon précise que ces derniers ont agi au hasard et que les dégâts causés par ces attaques ont pu être rapidement contrebalancés par les équipes de KWC
Le motif de l’attaque reste inconnu. Verizon note que les adresses IP attribuées aux attaquants étaient connues de ses services pour avoir déjà été liées à des campagnes d’hacktivistes menées en Syrie. Verizon note que les conséquences de l’attaque auraient pu être bien plus graves si les attaquants avaient eu une réelle volonté de nuire en exploitant les systèmes de contrôle et d’acquisitions passés sous leur contrôle.
Source
Aucun commentaire:
Enregistrer un commentaire
Remarque : Seul un membre de ce blog est autorisé à enregistrer un commentaire.