Des agences occidentales alertent sur les cyberattaques contre des appareils OT

Dix agences occidentales, dont sept agences fédérales américaines, ont alerté, début mai 2024, sur la multiplication récente des cyberattaques pro-russes contre des contrôleurs industriels. «Des hacktivistes pro-russes ciblent et compromettent les systèmes OT à petite échelle dans la gestion de l’eau et du traitement des eaux usées, les barrages, l’énergie, les secteurs de l’alimentation et de l’agriculture, en Amérique du Nord et en Europe », lit-on dans le communiqué.

« Ces hacktivistes cherchent à compromettre les systèmes de contrôle industriels modulaires exposés à Internet via leurs composants logiciels, comme les interfaces homme-machine (IHM), en exploitant les logiciels d’accès à distance d’informatique virtuelle en réseau (VNC) et les mots de passe par défaut », peut-on encore lire dans l’avis.

Les sept agences américaines signataires sont :

• la Cybersecurity and Infrastructure Security Agency (CISA), équivalent de l’Anssi ;
• le FBI ;
• la National Security Agency (NSA) ;
• l’Environmental Protection Agency (EPA) ;
• le Department of Energy (DoE) ;
• l’United States Department of Agriculture (USDA) ;
• la Food and Drug Administration (FDA).

Elles sont accompagnées de :

• l’Information Sharing and Analysis Center (ISAC) du programme spatial de l’Union européenne ;
• le Centre canadien pour la cybersécurité (CCC), équivalent canadien de l’Anssi ;
• le Centre national de cybersécurité du Royaume-Uni, équivalent britannique de l’Anssi.

Selon ces dix agences, les techniques de piratage des cybercriminels pro-russes sont peu sophistiquées, et ont eu peu de conséquences opérationnelles. Mais les signataires soulignent aussi la facilité avec laquelle de nombreux systèmes OT ont été compromis. Les agences dénoncent des connexions Internet exposées, ou l’usage de mots de passe par défaut, faibles ou sans authentification multifactorielle.

« Bien que les organisations d’infrastructures critiques puissent prendre des mesures pour atténuer les risques, il incombe en fin de compte au fabricant d’appareils OT de créer des produits sécurisés par conception et par défaut », concluent les agences.