L'ANSSI, inquiète des hacktivistes qui s'attaquent aux infrastructures hydrauliques françaises, tire la sonnette d'alarme. Un parc éolien a même récemment été paralysé pendant plusieurs heures.
Le CERT-FR a publié jeudi un document qui n'est pas franchement rassurant. Les installations d'énergie renouvelable et de gestion de l'eau en France sont devenues de vraies cibles des hacktivistes, ces attaquants informatiques qui agissent par activisme, avec une multiplication constatée des cyberattaques contre des structures du pays. L'ANSSI, l'agence nationale de cybersécurité, dresse un état des lieux alarmant de la situation et donne de précieuses recommandations pour colmater les brèches.
Un parc éolien récemment paralysé par des hacktivistes qui pousse l'ANSSI à réagir
Récemment, des hacktivistes sont parvenus à prendre le contrôle à distance d'installations industrielles françaises. L'incident le plus spectaculaire fut l'arrêt complet d'un parc éolien pendant plusieurs heures, brièvement décrit par l'ANSSI, qui avait occasionné des pertes financières pour l'exploitant.
Depuis plusieurs mois, l'agence française dit avoir noté une hausse des signalements concernant le ciblage d'installations d'énergie renouvelable et de traitement de l'eau. Qu'il s'agisse des éoliennes, des centrales hydroélectriques, du photovoltaïque ou des stations de pompage, tous ces équipements connectés sont dans le viseur des attaquants. Ces derniers exploitent des failles élémentaires pour accéder aux interfaces de gestion, parfois sans rencontrer la moindre résistance.
Les hacktivistes ne déploient pas particulièrement d'arsenaux sophistiqués. Le document du CERT-FR le fait comprendre en indiquant que leurs « activités sont le plus souvent d'un niveau de technicité faible ». Leur principale arme reste cette « forte capacité à médiatiser leurs actions », pour faire de chaque intrusion un coup de communication, voire un buzz, qui a en général pour but de déstabiliser les acteurs ciblés.
Des installations exposées sur internet véritable sans mot de passe ni chiffrement
La note de l'ANSSI révèle que beaucoup d'installations dont le système d'information a été compromis sont gérées par « de très petites entreprises ou des particuliers », qui ne maîtrisent pas toujours les risques cyber. Conséquence directe, leurs équipements industriels restent connectés à Internet sans aucune barrière de protection. Et le comble, c'est que certains n'ont même jamais changé les mots de passe d'origine livrés avec leur matériel, conservant le mot de passe par défaut.
Au niveau des failles exploitées, le CERT-FR fait état d'équipements « exposés sur Internet sans authentification ou avec un mot de passe par défaut », et de « protocoles industriels directement exposés, qui peuvent être sans chiffrement et authentification ». Autrement dit, n'importe qui peut théoriquement interagir avec ces systèmes de contrôle, presque comme s'ils étaient en accès libre.
L'ANSSI propose donc aux secteurs hydraulique et de l'énergie cinq mesures de sécurité minimales. Elle conseille aux acteurs de filtrer les connexions par adresse IP, déployer un tunnel VPN (IPsec ou TLS), remplacer tous les identifiants par défaut par des mots de passe robustes, utiliser des protocoles sécurisés comme TLS ou SSH, et appliquer régulièrement les correctifs. La bonne nouvelle, c'est que « la majorité des box Internet » proposent désormais ces fonctionnalités sans équipement supplémentaire. Et si ces recommandations ne peuvent pas être suivies, l'ANSSI conseille alors « de déconnecter les installations d'Internet » à la moindre suspicion de compromission.
