« Des cyberattaques neutralisantes frappent les systèmes d’eau et de traitement des eaux usées partout aux États-Unis », c’est ainsi que débute une lettre adressée aux gouverneurs américains le 18 mars. Michael Regan administrateur de l’Agence de protection de l’environnement (EPA) & Jake Sullivan, conseiller à la sécurité nationale appellent à améliorer la cybersécurité de ces infrastructures critiques.
Des cyberattaques en cascade
Le ton de la lettre, pour avoir l’air catastrophiste, reflète la réalité d’une année 2023 inquiétante pour les États-Unis. En novembre et en décembre, plusieurs articles de presse rapportaient des opérations menées par deux groupes, CyberAv3ngers et VoltTyphoon notamment contre des infrastructures du secteur de l’eau.
Inscrivez-vous à la newsletter
En vous inscrivant vous acceptez notre politique de protection des données personnelles.
Le premier, Bloomberg affirme qu’il est lié aux groupes iraniens des Gardiens de la révolution. Ils auraient mené au moins une dizaine d’opérations sur le territoire américain. Ils ont notamment piraté un petit service d’une localité de Pennsylvanie, en affichant le message « vous avez été piraté, à bas Israël ». Comme beaucoup d’autres aux États-Unis, le service de distribution d’eau et d’eau usées utilise des contrôles numériques venant d’Israël.
VoltTyphoon a été lié à l’Armée Populaire de Chine par le Washington Post. Il a ciblé plusieurs infrastructures critiques sur la côte Pacifique des États-Unis, notamment le service d’eau d’Hawaï. Le groupe est nommément cité, avec les Gardiens de la Révolution dans la missive destinée aux gouverneurs. Les États-Unis n’hésitent pas à user de la pratique du « name and shame ».
En 2021, l’Agence Nationale de la sécurité des systèmes d’information (ANSSI), responsable de la cybersécurité de la France, se faisait écho de ce type d’opérations. En Israël plusieurs installations avaient été visées par des attaques coordonnées réputées venir d’Iran. Aux États-Unis, le FBI et l’EPA avaient déjà signalé le piratage d’une usine de traitement de l’eau potable en Floride.
« Le ciblage d’infrastructures critiques par des acteurs de niveau étatique devrait continuer, plus particulièrement dans le cadre de tensions géopolitiques exacerbées », écrivait l’ANSSI.
Ces opérations, parfois des sabotages, n’ont eu pas ou peu de conséquences sur les populations. Il s’agissait aussi dans certains cas de prépositionnement : le groupe de cyberattaquants s’infiltre puis se fait discret jusqu’au moment propice.
L’eau est vulnérable aux États-Unis
Les infrastructures du secteur l’eau sont une cible idéale pour des États hostiles à plusieurs égards. D’une part, c’est le plus évident, pour son caractère indispensable à toute vie. Pirater efficacement, faire planer le risque d’empoisonnement ou autre est à même de créer la panique chez un adversaire.
C’est aussi, malgré son caractère critique, une industrie vulnérable. Aux États-Unis il y a de nombreux acteurs, parfois de très petites tailles. Comme l’écrivent Michael Regan et Jake Sullivan, ces structures « manquent souvent de moyens et de capacités techniques pour adopter des pratiques de cybersécurités rigoureuses ». D’où l’urgence pour les États d’identifier les failles et de se mettre à la page.