Les histoires d’automatisme se suivent et se ressemblent. Après les centrifugeuses folles d’Iran et les portes de prison réellement aimables , c’est au tour des réseaux d’alimentation en eau nord-Américains d’essuyer les feux des attaques « multi-environnement ». Il faut dire que depuis Stuxnet, l’art de concevoir des « intrusions qui intrusent » sur des automates programmables de la série Simatic de Siemens commence à prendre des petits airs de déjà-vu. A ce rythme-là, il sera bientôt plus facile de faire sauter une centrale pétrochimique que de découvrir la milliardième faille flash.
L’un des derniers rebondissements dans le landernau de l’attaque Scada a été révélé par nos confrères du Reg. Le réseau d’eau de Springfield, une bourgade de l’Illinois, aurait été piraté, et la malice de l’intrus aurait même provoqué la destruction d’une pompe. Outre ce petit incident mécanique, le visiteur en aurait profité pour récupérer au passage quelques noms et mots de passe d’utilisateurs du système. L’intrusion, précise l’un des experts, remonterait à 2 ou 3 mois avant que ne survienne la panne et la mise en évidence du hack. Une fois n’est pas coutume, le traceback IP du cyber-pirate remonterait non pas vers la Chine mais vers la Russie.
A peine une semaine plus tard, un autre passionné de la sécurité des grandes infrastructures stratégiques publiait sur Pastebin un billet fort documenté montrant que les régies des eaux de l’Illinois n’étaient pas les seules dans lesquelles l’on pouvait rentrer comme dans un moulin. Inspiré par les initiatives Russes, cet amoureux de la sécurité des réseaux a répété l’opération, mais en visant la ville de Houston Sud. Les captures d’écran qui accompagnent ses dires ne laissent planer que très peu de doute sur la véracité de ses affirmations. Cette fois, le hack ne s’est soldé par aucun dommage, le « gentil pirate » se contentant de signaler, sans trop d’insistance d’ailleurs, un genre de vulnérabilité qui semble très répandu.
Hasard du calendrier, ces deux affaires surviennent très peu de temps après la publication du « Cyberspace policy report » rédigé par le Département de la Défense des USA. Un rapport qui insiste notamment sur la nécessité de renforcer les défenses infrastructurelles nationales, tout en considérant comme tout à fait naturel de considérer le cyberespace comme un champ de bataille comme un autre, sur lequel l’armée des Etats Unis aurait un droit légitime d’action en cas de menace des intérêts Américains. Bien que demeurant particulièrement flou sur ce qui pourrait être considéré sur Internet comme un « act of war » (cassus belli en Français), les rédacteurs de ce rapport n’ont laissé aucun doute sur la nécessité d’une militarisation de l’espace numérique.
Il va sans dire qu’en France, strictement aucune régie des eaux ne risque la moindre attaque du genre. D’ailleurs, Siemens ne leur a vendu aucun Simatic, et jamais les systèmes chargés du pilotage de ces installations ne sont connectés à Internet de manière directe ou indirecte …