Des hackers piratent le système de traitement d’eau d’une société

**Victor Vincent** · 28/03/2016, 01h02

Des hackers piratent le système de traitement d’eau d’une société
et parviennent à modifier les adjuvants chimiques apportés à l’eau potable

La société Verizon a publié un rapport qui mentionne une attaque, du moins, inhabituelle des hackers. En effet, un groupe de hackers a modifié le système de traitement d’eau d’une société spécialisée dans ce domaine, altérant ainsi les réglages du système de contrôle des adjuvants chimiques ajoutés à l’eau potable. La victime de l’attaque, une société identifiée dans le rapport de Verizon sous le nom générique de Kemuri Water Company (KWC) a contacté l’équipe RISK de Verizon pour leur demander un audit de leur réseau, suspectant un dysfonctionnement dans le système. Après leurs investigations, l’équipe RISK de Verizon a identifié toute une série de problèmes dans le système de traitement des eaux de la société KWC, qui a peut-être permis aux hackers d’accéder au système. L’équipe a d’abord noté que les ordinateurs de la société de traitement des eaux tournent sous d’anciens systèmes d’exploitation qui ne sont pas mis à jour et dont certains fonctionnent depuis plus de dix ans.

L’équipe RISK a également trouvé que le réseau entier de la société tournait autour d’un seul équipement, un AS400, qui interconnecte le réseau interne de KWC au système SCADA qui gère le processus de traitement des eaux. En plus de cela, la machine AS400 était exposée sur internet, permettant d’assurer le trafic vers un serveur web où les clients de KWC peuvent consulter le coût de l’eau, les informations concernant leur niveau de consommation ou encore effectuer des paiements via des applications de paiement dédiées. Verizon a noté également qu’un seul employé de la société était en mesure de manier le système de l’AS400, ce qui rendait la tâche facile a des hackers potentiels qui tenteraient d’exécuter des instructions malveillantes quand cette personne se trouve hors service.

Les hackers ont pu pénétrer le système via une application de paiement accessible depuis le web et cherchaient à voler les informations sensibles des utilisateurs de la société, d’après le rapport de Verizon. Les hackers auraient découvert une vulnérabilité dans le système de paiement et l’ont utilisée pour accéder au serveur sur lequel se trouvait également un fichier de configuration avec des informations d’identification qu’ils ont utilisé pour accéder au système de l’AS400. C’est à partir de l’AS400 que les hackers sont venus à bout du système SCADA et ont pu modifier les paramètres du système de contrôle des adjuvants chimiques ajoutés à l’eau potable.

Source : Verizon

Et vous ?

Qu'en pensez-vous ?

Voir aussi

Forum Sécurité

**MABROUKI** · 28/03/2016, 02h28

bonjour
Exposer un systeme Scada (eau,electricite ,gaz ) sur un reseau externe public cree une vulnerabilite extreme dans la gestion du Scada......
Normalement le systeme de gestion de la clientele publique devrait etre totalement separe du reseau interne dedie au Scada...

**NSKis** · 28/03/2016, 11h23

A quand une centrale nucléaire qui nous "explose à la gueule" parce que des incompétents ont connecté son système de contrôle à internet???

L'ensemble des fournisseurs d'équipements en automation (automates programmables, Scada ou autres) n'ont eu de cesse ces dernières années d'y ajouter des fonctions permettant la connexion à internet dans le seul but d'être IN, dans le vent, à la mode... parce que c'est cooooooooooool!!! Mais aucun ne s'est posé la question de la sécurité et encore moins les intervenants qui intègrent ces solutions dans le terrain.

C'est ainsi que l'on se trouve actuellement avec des milliers de sites sensibles pouvant être hackés à distance sans que cela préoccupe personne... A quoi sert un fourgon de gendarmes devant une centrale nucléaire si le terroriste dont on a tellement peur se contente de mettre hors service le système de refroidissement de la centrale en restant derrière son PC?

**Escapetiger** · 28/03/2016, 15h22

Envoyé par Victor Vincent

(...)L’équipe a d’abord noté que les ordinateurs de la société de traitement des eaux tournent sous d’anciens systèmes d’exploitation qui ne sont pas mis à jour et dont certains fonctionnent depuis plus de dix ans.

L’équipe RISK a également trouvé que le réseau entier de la société tournait autour d’un seul équipement, un AS400, qui interconnecte le réseau interne de KWC au système SCADA qui gère le processus de traitement des eaux. En plus de cela, la machine AS400 était exposée sur internet, permettant d’assurer le trafic vers un serveur web où les clients de KWC peuvent consulter le coût de l’eau, les informations concernant leur niveau de consommation ou encore effectuer des paiements via des applications de paiement dédiées. Verizon a noté également qu’un seul employé de la société était en mesure de manier le système de l’AS400, ce qui rendait la tâche facile a des hackers potentiels qui tenteraient d’exécuter des instructions malveillantes quand cette personne se trouve hors service.
(...)

Qu'en pensez-vous ?

Qu'une fois de plus, à force de vouloir faire des économies, on se retrouve avec des dangers publics, de la régression sur la maîtrise/maintenance des équipements,sur la transmission du savoir, etc...

J'espère qu'à partir de l' audit sérieux (RISK Verizon) effectué, les dirigeants de cette société auront un procès en bonne et due forme et que des mesures adéquates avec communication publique seront prises, vérifiable par les citoyens concernés.

**autran** · 28/03/2016, 16h33

La prévention, il n'y a que ça de vrai !
Les risques pour la santé sont énormes. Rendez vous compte des milliers de gens boivent encore de l'eau du robinet.
Je suis effrayé, je ne suis pas la veille de quitter mes 2 litres de coca-cola journaliers

**TiranusKBX** · 29/03/2016, 02h47

Envoyé par NSKis

A quand une centrale nucléaire qui nous "explose à la gueule" parce que des incompétents ont connecté son système de contrôle à internet???

L'ensemble des fournisseurs d'équipements en automation (automates programmables, Scada ou autres) n'ont eu de cesse ces dernières années d'y ajouter des fonctions permettant la connexion à internet dans le seul but d'être IN, dans le vent, à la mode... parce que c'est cooooooooooool!!! Mais aucun ne s'est posé la question de la sécurité et encore moins les intervenants qui intègrent ces solutions dans le terrain.

C'est ainsi que l'on se trouve actuellement avec des milliers de sites sensibles pouvant être hackés à distance sans que cela préoccupe personne... A quoi sert un fourgon de gendarmes devant une centrale nucléaire si le terroriste dont on a tellement peur se contente de mettre hors service le système de refroidissement de la centrale en restant derrière son PC?

Pour le piratage à distance d'une centrale en France pour le moment ce n'est pas possible vus le degré de paranoïa sur les systèmes critique chez EDF mais pour le reste de leur services(dans le sens département d'entreprise) vus le nombre de PC qui tourne chez eux encore sous Windows 2000 bonjour les failles de sécurité ^^

**fenkys** · 29/03/2016, 10h04

Envoyé par TiranusKBX

Pour le piratage à distance d'une centrale en France pour le moment ce n'est pas possible vus le degré de paranoïa sur les systèmes critique chez EDF mais pour le reste de leur services(dans le sens département d'entreprise) vus le nombre de PC qui tourne chez eux encore sous Windows 2000 bonjour les failles de sécurité ^^

Ok pour EDF. Mais tu as les mêmes assurances pour le reste de la planête ? Une centrale qui explose fait pas mal de dégâts dans le pays même, mais aussi chez les voisins et les voisins des voisins.

**GuilGate** · 29/03/2016, 11h48

Envoyé par autran

La prévention, il n'y a que ça de vrai !
Les risques pour la santé sont énormes. Rendez vous compte des milliers de gens boivent encore de l'eau du robinet.
Je suis effrayé, je ne suis pas la veille de quitter mes 2 litres de coca-cola journaliers

Et le coca, tu pense qu'il est produit avec de l'eau minérale ?

**petitours** · 29/03/2016, 12h18

Bonjour

La faute aussi aux "solutions" promues et encouragée autour du cloud.
Ça choque de moins en moins de monde de déporter sur les serveurs finlandais de amazon web services le logiciel de pilotage de la performance d'une chaine de production. Solution web qui va interroger des capteurs via des passerelles web là où elle aurait pu recevoir les quelques infos pertinentes sans rendre critique la fiabilité du réseau...
Pas plus tard que la semaine dernière je suis intervenu sur une chaine d'emballage en panne parce que internet en panne... les commerciaux qui ont vendu leur solution cloud à prix d'or chaque mois sont bons mais l'informatique à ici produit de la .erde. Au final l'appli en question n'utilise le cloud que pour générer des statistique de livraison ; pas besoin d'avoir accès aux capteurs et actionneurs de la chaine ni de piloter les flux !
Cet article parle de sécurité mais avant tout il y a le fonctionnel qui est perverti aujourd'hui.

**Arnard** · 29/03/2016, 17h07

Le cloud est une autre question.

Présentement se pose la question de la maintenance des SCADA. En général c'est déployé par une société pour répondre à un besoin technique, mais il n'y a pas de suivi/maintenance derrière. Un système de 10 ans d'âge est classique, on retrouve même du windows 2000 et du NT4 encore en production. Habituellement ce sont des systèmes sur des réseaux fermés, une maintenance à distance est donc impossible. Il y a aussi le problème de la culture du risque et de la protection des systèmes, pas forcément répandu chez les SSII et les intégrateurs. Le hic est que ce genre d'histoire peut se répéter pas mal de fois.

**NSKis** · 29/03/2016, 17h36

Envoyé par Arnard

Présentement se pose la question de la maintenance des SCADA. En général c'est déployé par une société pour répondre à un besoin technique, mais il n'y a pas de suivi/maintenance derrière. Un système de 10 ans d'âge est classique, on retrouve même du windows 2000 et du NT4 encore en production. Habituellement ce sont des systèmes sur des réseaux fermés, une maintenance à distance est donc impossible. Il y a aussi le problème de la culture du risque et de la protection des systèmes, pas forcément répandu chez les SSII et les intégrateurs. Le hic est que ce genre d'histoire peut se répéter pas mal de fois.

Exact, il n'y a pas de suivi et de maintenance pour la bonne et simple raison que le client ne veut pas le payer!!! L'automation/informatique industrielle ne fonctionne pas comme le monde de l'IT: Un coût forfaitaire pour développer et mettre en service l'installation de production (automates industriels et SCADA) à la mode "un petit tour et puis s'en vont" et puis on termine le projet. Prochain projet? Prochain sous-traitant!

Vous ajoutez à cela des intervenants (souvent des électriciens) qui s'inventent "informaticien" pour gagner plus en se gardant la partie développement informatique: Ils ne connaissent pas la base du métier mais se limitent à "paramétrer" les équipements plutôt que de les "programmer". Résultat? Vous retrouvez même des bases de données avec le login/password par défaut

**Arnard** · 30/03/2016, 10h51

Base de données, applicatifs, session windows, automates, en général les mots de passes par défaut sont fonctionnels. La seule sûreté d'une telle installation est de ne pas être raccordée au net. Pour peu que des protocoles sans authentification soient utilisés, ou que l'authentification ne soit pas paramétrée, c'est open bar. Vous ne pouvez pas imaginer tout ce qu'on peut faire avec modbus quand on connait le sous-système

**TiranusKBX** · 30/03/2016, 13h30

Envoyé par Arnard

Vous ne pouvez pas imaginer tout ce qu'on peut faire avec modbus quand on connait le sous-système

si j'ai déjà mis à l'arrêt une chaine de distribution de colis/paquets en accélérant le tapis roulant, les bras robotiques d'extraction se sont cognés

et ça à servie de base pour les test de piratage de de synchronisme du dépôt le tout pour un petit 10cm/s en plus

**secuexpert** · 30/03/2016, 21h27

Envoyé par TiranusKBX

Pour le piratage à distance d'une centrale en France pour le moment ce n'est pas possible vus le degré de paranoïa sur les systèmes critique chez EDF mais pour le reste de leur services(dans le sens département d'entreprise) vus le nombre de PC qui tourne chez eux encore sous Windows 2000 bonjour les failles de sécurité ^^

Tu connais des réacteurs nucléaires français contrôlés par des PC? (connectés au réseau ou non)

Ou même par des ordinateurs (programmable computer)?

**secuexpert** · 30/03/2016, 21h51

Envoyé par fenkys

Ok pour EDF. Mais tu as les mêmes assurances pour le reste de la planête ? Une centrale qui explose fait pas mal de dégâts dans le pays même, mais aussi chez les voisins et les voisins des voisins.

Comment ça une centrale qui "explose"? Comment voudrais-tu qu'une centrale explose?

Et si c'était le cas, quels dégâts voudrais-tu qu'elle fasse?

**NSKis** · 31/03/2016, 02h40

Envoyé par secuexpert

Comment ça une centrale qui "explose"? Comment voudrais-tu qu'une centrale explose?

Et si c'était le cas, quels dégâts voudrais-tu qu'elle fasse?

Fukushima... Vous en avez entendu parlé???

Il suffit de mettre hors service suffisamment longtemps les systèmes de refroidissement d'un réacteur nucléaire pour que le système s'emballe et se termine par la fusion total du coeur... C'est vrai que d'avoir un joli no man's land au milieu de la France serait du plus bel effet... Un de ces dégâts totalement insignifiants pour certains

**secuexpert** · 31/03/2016, 04h13

Envoyé par NSKis

Fukushima... Vous en avez entendu parlé???

Il suffit de mettre hors service suffisamment longtemps les systèmes de refroidissement d'un réacteur nucléaire pour que le système s'emballe et se termine par la fusion total du coeur... C'est vrai que d'avoir un joli no man's land au milieu de la France serait du plus bel effet... Un de ces dégâts totalement insignifiants pour certains

Quel emballement? Il n'y a aucun emballement.

Tu ne sais pas de quoi tu parles.

Tu devrais laisser les sujets techniques aux spécialistes.

Aucun village n'est inhabitable. C'est de la propagande pro-charbon.

Oui, les dégâts à l'extérieurs sont insignifiants. C'est la réalité, que ça te plaise ou pas.

Aucun accident plausible d'une centrale nucléaire n'aurait d'effet significatif en dehors de la centrale.

**Jipété** · 31/03/2016, 08h52

Envoyé par secuexpert

Quel emballement? Il n'y a aucun emballement.
...
Oui, les dégâts à l'extérieur sont insignifiants. C'est la réalité, que ça te plaise ou pas.

Aucun accident plausible d'une centrale nucléaire n'aurait d'effet significatif en dehors de la centrale.

ÀMHA c'est du troll pur et dur, rien d'autre, car ce n'est pas possible qu'il n'ait pas entendu parler de Tchernobyl...

Enfin, bon, illustrons illustrons, si ça ne profite pas au troll, ça profitera au moins aux autres (attention, certaines images sont assez insoutenables...) :

**secuexpert** · 31/03/2016, 10h07

Très bon ta mise en scène mais aucun rapport avec les radiations.

L'accident de la centrale Lénine n'a causé parmi les civils que des cancers faciles à soigner.

Et pour ton information, on n'a pas de centrale RBMK en France. Et cet accident n'a eu lieu que parce que le réacteur a été mis en situation instable (contraire aux règles) et ensuite poussé à pleine puissance en retirant trop de barres de contrôle (contraire aux règle) et en désactivant le système d'arrêt d'urgence. Pendant ce temps le système de secours était désactivé.

En France ce genre de choses ne sont réellement pas autorisées et pas possibles.