« Il n’existe aucune évidence prouvant la réalité de cette intrusion » déclare l’ICS-Cert Américain, après qu’ait été révélée, la semaine passée, une possible attaque informatique visant le système d’alimentation en eau d’une bourgade de l’Illinois.
Pourtant, les soupçons avaient été émis par l’Illinois State Terrorism and Intelligence Center (Istic), un organisme peu versé dans l’art de la plaisanterie douteuse. Pour Brian Krebs, il s’agit là d’un démenti qui « éparpille façon puzzle » le rapport de l’Istic, et qui précise « DHS and FBI have concluded that there was no malicious or unauthorized traffic from Russia or any foreign entities, as previously reported ». Un démenti qui n’engage que ceux qui y croient, fait remarquer Joe Weiss, l’homme par qui ont pu filtrer les données les plus importantes du rapport de l’Istic. Joe Weiss qui rédige une contre-contre réponse sur son blog expliquant qu’aucune preuve invalidante n’a été apportée par le DHS et que les différents organismes feraient bien d’accorder leurs violons avant que de publier des affirmations ou des démentis.
Il est techniquement peu important de savoir si d’éventuels pirates ont, oui ou non, utilisé des proxy pour s’introduire dans une infrastructure Scada… voir même s’ils y sont parvenus effectivement : l’origine de l’information paraît trop sérieuse pour que le démenti puisse être pris comme argent comptant. Le public, même non technicien, aura immédiatement compris que cette guerre des communiqués cache un profond malaise dont l’origine pourrait se trouver précisément dans la trop grande vulnérabilité des réseaux « stratégiques » des Etats-Unis d’Amérique : eau, électricité, pétrochimie, transports ferroviaires et aériens. Pour le DHS, tout ce qui touche au Scada ne doit à aucun prix passer pour un colosse aux pieds d’argile.
C’est là donc plus un problème lié à la gestion de la communication de crise qu’une histoire de pure sécurité informatique. Lorsque l’on touche à des questions de protection des infrastructures Scada, seul le DHS, via ses différents organismes satellites (dont les Cert) a le droit de s’exprimer. Les administrations locales ne sont pas autorisées à dire quoi que ce soit. Si l’on peut comprendre les motivations du DHS qui visent à entretenir la confiance et éviter des réactions de panique ou de catastrophisme infondé (un « syndrome Die Hard »), force est également de reconnaître que ce contre-feu, mal orchestré, mal planifié et dénué du moindre argument technique ne peut qu’être pris pour une sorte d’oukase, une réaction autoritariste dénuée de fondement. La réaction du DHS a toute les chances d’alimenter les thèses conspirationnistes les plus folles, et d’avoir en fin de compte un effet contraire au but visé.
Quant au second hack qui aurait frappé une autre station d’épuration des eaux située au Texas, le DHS se contente de dire « qu’une enquête est en cours ». Là encore, aucune information tangible, rien de très constructif. Sans la réaction du DHS, cette histoire de pompe qui tombe en panne et d’obscure publication technique publiée anonymement sur Pastebin auraient rapidement été oubliées. L’on en viendrait presque à croire que ces maladresses de communications aient été intentionnelles pour justifier, peut-être, une rallonge budgétaire ou un nouvel agenda sur le renforcement des infrastructures Scada …