Cybersécurité : Les risques pour le secteur de l’eau en France

Cybersécurité : Les risques pour le secteur de l'eau en France

Sommaire

En France, l’approvisionnement en eau potable et l’assainissement des eaux usées sont des missions de service public, sous la responsabilité des collectivités locales. Ces services peuvent être gérés en régie directe ou dans le cadre d’une délégation de service public (DSP).

En 2021, 32 % des services d’eau potable étaient gérés sous DSP, approvisionnant 60 % de la population, majoritairement par trois acteurs privés : Veolia, Suez et Saur.

 

À l’horizon 2026, ces compétences seront transférées aux établissements publics de coopération intercommunale (EPCI).

Le secteur repose sur un système de redevance, nécessitant un équilibre entre recettes et dépenses. Le Plan Eau 2023 vise à moderniser les infrastructures, réduire les fuites et sécuriser l’approvisionnement.

 

Cet article explore la connaissance actuelle de l’ANSSI sur l’état de la menace informatique pesant sur le secteur de l’eau. Il s’appuie sur des incidents traités par l’ANSSI, des rapports officiels de gouvernements, d’exploitants et d’éditeurs de sécurité, ainsi que sur des informations pertinentes issues de sources ouvertes. Les éléments présentés ne sont pas exhaustifs, mais offrent un aperçu des risques et des enjeux critiques.

 

L’importance stratégique de l’eau

 

L’eau, ressource vitale et stratégique, est de plus en plus convoitée.

D’ici 2030, la demande mondiale pourrait dépasser les ressources disponibles de 40 %, aggravant les tensions, notamment dans la « diagonale de la soif » allant du Maroc à la Chine.

Les menaces ciblant le secteur de l’eau

 

Entre janvier 2021 et août 2024, l’ANSSI a recensé 31 incidents de compromission impliquant des entités du secteur de la gestion de l’eau. Bien qu’aucune hausse significative du nombre d’incidents n’ait été constatée, les motivations et les acteurs en cause ont évolué au fil des années.

 

En 2023, 12 incidents étaient principalement attribués à des groupes à motivations lucratives. En revanche, en 2024, 16 incidents signalés, survenus pour la plupart entre mai et juillet, étaient liés à des attaques DDoS revendiquées par des groupes hacktivistes, dans le contexte sensible des Jeux Olympiques et Paralympiques de Paris.

 

Ces menaces soulignent la diversité des risques, allant des attaques opportunistes pour gain financier aux actions idéologiques visant à déstabiliser des infrastructures critiques lors d’événements majeurs. Le secteur de l’eau, essentiel et exposé, doit donc renforcer ses mesures de protection face à ces cybermenaces variées.

Les attaques informatiques à des fins lucratives


Le secteur de l’eau en France a été la cible de nombreuses attaques à motivations financières, notamment par le biais de rançongiciels. Ces attaques, qui exploitent souvent des failles ou des identifiants volés, visent à chiffrer les systèmes d’information pour demander une rançon.

Exemples récents d’attaques

  • Avril 2024 : Une commune française a été touchée par le rançongiciel Babuk, rendant inopérants plusieurs services critiques, notamment la supervision de l’eau.

  • Janvier 2024 : Une entité américaine de Veolia a été victime d’une attaque, perturbant la gestion des paiements clients.

  • Mars 2023 : La compagnie BRL a subi une compromission par le rançongiciel Lockbit 3.0.

  • Mai 2023 : Le SMDEA en Ariège a été ciblé par le rançongiciel Qilin.

Évolution des pratiques des cybercriminels


Depuis 2019, les tactiques de double extorsion, combinant chiffrement des données et menace de divulgation, sont largement utilisées. La professionnalisation de l’écosystème cybercriminel a également permis une industrialisation des attaques, rendant le secteur de l’eau, avec ses nombreuses vulnérabilités, une cible privilégiée.

Impact et rançons


Les rançons demandées varient selon la taille et le chiffre d’affaires des entités ciblées. En 2024, le montant moyen pour le secteur de l’eau et de l’énergie atteignait 2,5 millions de dollars.

Vecteurs d’attaque fréquents

 

  • Vol ou achat d’identifiants.

  • Exploitation de vulnérabilités (ex. : failles VPN).

  • Campagnes d’hameçonnage, comme celle utilisant le code malveillant Pikabot pour déployer des rançongiciels.

Cas notables à l’international

 

  • En 2021, des malveillants ont utilisé TeamViewer pour tenter de manipuler les paramètres d’eau potable aux États-Unis, notamment en Floride.

  • En 2021 également, des stations d’assainissement à Oloron-Sainte-Marie ont été compromises via une faille logicielle, entraînant une destruction partielle des données.

Ces incidents mettent en évidence l’urgence de renforcer la cybersécurité dans le secteur de l’eau face à des cybercriminels de plus en plus sophistiqués.

Attaques informatiques à des fins de déstabilisation


Les attaques informatiques à des fins de déstabilisation dans le secteur de l’eau peuvent prendre différentes formes : attaques par déni de service (DDoS), sabotage informatique, ou divulgation d’informations. Ces attaques sont souvent menées par des groupes hacktivistes, étatiques, ou d’anciens employés.

Hacktivisme et campagnes de sabotage


Les groupes hacktivistes, parfois soutenus par des États, peuvent mener des campagnes de sabotage visant à perturber les infrastructures critiques. Ces attaques génèrent une forte médiatisation, même si les capacités techniques des groupes restent limitées.

  • Novembre 2023 : Le groupe hacktiviste CyberAv3ngers a attaqué Israël en ciblant des automates utilisés dans les systèmes d’approvisionnement en eau et de traitement des eaux usées. Cette attaque a affecté des stations de pompage aux États-Unis, en Irlande et en Roumanie, entraînant des coupures d’eau dans certaines zones.

  • Mars 2024 : Le groupe pro-palestinien Handala Hack Team a compromis le système d’information d’une société israélienne de traitement de l’eau, exfiltrant 79 Go de données.

  • Janvier 2024 : Le groupe Cyber Army of Russia (Reborn) (CARR) a pris le contrôle de plusieurs installations de traitement et d’assainissement de l’eau aux États-Unis, en Pologne et en France. Certaines de ces attaques ont provoqué des dysfonctionnements, comme le débordement d’un réservoir au Texas.

Contexte géopolitique et hacktivisme


Les groupes hacktivistes agissent souvent dans un contexte géopolitique tendu. Par exemple, en 2023, le groupe BlackJack, pro-ukrainien, a attaqué l’infrastructure d’un fournisseur d’eau russe, chiffrant plus de 6 000 ordinateurs et supprimant des données sensibles.

Ciblage par des modes opératoires d’attaques réputés étatiques


Dans le cadre du conflit en Ukraine, des attaques informatiques ont été menées pour perturber les infrastructures critiques, y compris dans le secteur de l’eau, en soutien aux opérations militaires russes.

En mars 2024, les acteurs associés au groupe Sandworm, réputé être lié à la Russie, ont ciblé des entreprises ukrainiennes opérant dans l’approvisionnement en énergie, eau et chaleur. L’objectif principal était de déstabiliser les systèmes de contrôle industriels (ICS) de ces entités.

Les attaques ont été facilitées par plusieurs facteurs :

  • Segmentation incorrecte des serveurs hébergeant des logiciels spécialisés, avec une mauvaise isolation de ces serveurs par rapport aux autres parties des ICS.

  • Vulnérabilités dans les logiciels des fournisseurs, permettant l’exécution de code arbitraire à distance.

Les attaquants ont exploité ces failles en accédant aux systèmes via des logiciels spécialisés vulnérables ou par l’intermédiaire de comptes légitimes d’employés, mettant en évidence des lacunes en matière de sécurité dans la gestion des accès et des configurations.

Attaquant interne


Les tentatives de sabotage peuvent également provenir de sources internes, comme les employés ou les anciens employés ayant encore accès aux systèmes. Quelques exemples incluent :

  • Août 2007 : Un ancien employé d’un réseau de canaux en Californie a utilisé ses droits d’accès pour installer un logiciel malveillant sur un ordinateur du système SCADA, perturbant le contrôle du débit d’eau de la rivière Sacramento pour l’irrigation.

  • Mars 2019 : Un employé de la Post Rock Rural Water District aux États-Unis a volontairement interrompu les processus de nettoyage et de désinfection dans l’usine de traitement de l’eau, mettant en danger la qualité de l’eau distribuée.

Ces incidents soulignent l’importance d’une gestion rigoureuse des accès et d’une surveillance continue des activités des employés pour prévenir les attaques internes.

Attaques informatiques à des fins de prépositionnement


Les modes opératoires réputés étatiques peuvent viser des infrastructures critiques dans le cadre de prépositionnement stratégique, notamment en période de tension géopolitique ou en préparation à un conflit. L’objectif de ces attaques est de s’installer sur des systèmes d’information ou d’infrastructure pour pouvoir, en cas d’escalade, déstabiliser les opérations critiques.

Exemples de prépositionnement

 

  • 2020 – Allemagne

     

    Les autorités allemandes ont émis une alerte concernant une campagne de cyberattaque attribuée au groupe Bersek Bear, supposé être lié au FSB russe. Cette campagne visait les infrastructures critiques, notamment celles du secteur de l’eau. Le groupe aurait compromis des systèmes d’information via la chaîne d’approvisionnement, cherchant à voler des informations sensibles et à obtenir un accès prolongé aux systèmes industriels. L’objectif était de préparer une attaque de grande ampleur en cas de hausse des tensions géopolitiques.

  • 2023 – États-Unis 

    Les autorités américaines ont imputé à Volt Typhoon, un mode opératoire potentiellement lié à l’Armée Populaire de Libération (APL) chinoise, des attaques visant des infrastructures critiques aux États-Unis et à l’étranger.

    Ces attaques ont ciblé des réseaux électriques, de communications, et des fournisseurs d’eau potable dans des bases américaines. Cette opération semble avoir été un prépositionnement stratégique, visant à déstabiliser les réseaux en cas de conflit armé avec Taïwan.

    Le groupe a réussi à s’infiltrer via des vulnérabilités zéro-day sur des équipements exposés tels que des routeurs, VPN et pare-feux. Après avoir compromis un acteur du secteur de l’eau, les attaquants ont exploité des authentifiants VPN pour accéder aux systèmes d’information et collecter des informations pendant neuf mois. Leurs actions incluaient des recherches, des collectes de données et des exfiltrations depuis des serveurs de fichiers.

Méthodes d’infiltration et d’exploitation

  1. Exploitation de vulnérabilités : Les attaquants ont utilisé des vulnérabilités connues (comme des zero-day) pour infiltrer des systèmes via des équipements exposés sur Internet (routeurs, VPN, pare-feux).

  2. Utilisation de comptes légitimes : Les opérateurs ont utilisé des authentifiants de comptes VPN pour accéder aux systèmes d’information, ce qui leur a permis de collecter des informations sensibles et d’exfiltrer des données critiques.

  3. Accès aux infrastructures OT : Le prépositionnement a aussi impliqué la présence de serveurs critiques à proximité des infrastructures OT (systèmes de contrôle industriel), facilitant l’attaque ciblée des usines de traitement des eaux et d’autres infrastructures vitales. Lenumeration des sessions via des outils comme Putty a permis aux attaquants d’accéder à des profils critiques et d’augmenter leur capacité de perturbation.

Ces attaques mettent en lumière l’importance croissante de sécuriser non seulement les systèmes IT, mais aussi les systèmes de contrôle industriels (OT) face aux menaces géopolitiques. Le prépositionnement permet aux attaquants d’établir une présence furtive dans les infrastructures avant qu’un conflit ne les pousse à passer à l’action.

Attaques informatiques à des fins d’espionnage


Les attaques informatiques à des fins d’espionnage sont souvent menées par des acteurs étatiques dans le but de collecter des informations sensibles sur des infrastructures critiques et des ressources stratégiques, comme l’eau.

Ces attaques peuvent avoir des motivations diverses, notamment la surveillance géopolitique et l’accès aux données économiques ou militaires.

Motivations des attaques d’espionnage dans le secteur de l’eau

  1. Accès aux ressources en eau : Dans des régions sujettes au stress hydrique ou où les ressources en eau sont partagées entre plusieurs pays (notamment en raison de fleuves transfrontaliers), des campagnes d’espionnage peuvent avoir pour objectif de collecter des informations sur les ressources en eau des pays voisins. Cela permet aux attaquants de mieux comprendre la gestion des ressources naturelles et les politiques de l’eau des États concernés.

  2. Espionnage sectoriel :  Les attaques visent également à infiltrer des infrastructures critiques du secteur de l’eau afin de voler des informations sur les infrastructures de gestion de l’eau, les systèmes de distribution, ainsi que des données sensibles pouvant être utilisées pour des objectifs géopolitiques. L’espionnage peut se concentrer sur des pays dans des zones de conflit ou de tensions diplomatiques, notamment lorsque des entreprises d’un pays sont implantées dans des régions stratégiques.

Exemples d’attaques d’espionnage

 

  • Campagne ciblant la Turquie et l’Ouzbékistan : Une campagne d’hameçonnage a visé des organisations diplomatiques et des infrastructures du secteur de l’eau en Turquie et en Ouzbékistan.

    Bien que cette attaque n’ait pas été officiellement attribuée à un mode opératoire spécifique (MOA), elle a été associée à des acteurs liés à Tomiris, un groupe d’attaque connu pour mener des campagnes d’espionnage en Asie Centrale. L’objectif de l’attaque était probablement de recueillir des informations sensibles sur la gestion des ressources en eau et des infrastructures critiques dans ces pays.

  • Attaque contre une société française : Une entreprise française opérant dans le secteur de l’eau a été ciblée par des opérateurs d’un MOA chinois. L’attaque a débuté par la compromission d’une entreprise de télécommunication. Les attaquants ont ensuite utilisé un accès VPN d’une société responsable de la télé-maintenance pour pénétrer un serveur interne de l’entité chargée de la gestion de l’eau.

    Cette opération d’espionnage a également ciblé d’autres entités stratégiques situées dans la même zone géographique, mais opérant dans des secteurs différents. L’objectif était probablement de collecter des informations sensibles sur les infrastructures d’approvisionnement en eau et d’autres secteurs critiques.

Méthodes d’attaque

 

  1. Phishing ciblé : Les attaquants utilisent des techniques de phishing pour accéder à des informations sensibles. Cela inclut l’envoi de faux courriels ou l’utilisation de sites web compromis pour capturer des identifiants et des informations confidentielles.

  2. Exploitation des chaînes d’approvisionnement : Les attaques peuvent commencer par la compromission d’entités tierces, telles que des fournisseurs de télécommunications ou d’autres sociétés partenaires, afin d’obtenir un accès indirect aux systèmes des entités cibles, souvent par l’intermédiaire de VPN ou de réseaux de maintenance.

  3. Accès à des serveurs sensibles
    Une fois l’accès initial établi, les attaquants cherchent à compromettre des serveurs internes des entreprises ciblées pour collecter des données sensibles, telles que des informations sur les systèmes de gestion de l’eau, les contrats de fourniture ou même des plans d’infrastructure stratégiques.

Conclusion


Le secteur de l’eau, en tant qu’infrastructure critique, est devenu une cible privilégiée pour divers types d’attaques informatiques, qu’il s’agisse de sabotage, d’espionnage ou de prépositionnement stratégique en vue de tensions géopolitiques.

Les cyberattaques visant ce secteur illustrent l’importance croissante de la cybersécurité dans la gestion des ressources essentielles. Face à la sophistication croissante de ces menaces, il devient impératif pour les gouvernements et les entreprises de renforcer leurs systèmes de défense pour protéger non seulement les infrastructures critiques, mais aussi les données stratégiques sur les ressources en eau. La cybersécurité dans le secteur de l’eau est désormais un enjeu majeur pour la sécurité nationale et la stabilité mondiale.

Partagez cet article sur...
Picture of Gad

Gad

Gad est un auteur passionné et spécialisé dans la rédaction d'articles de blog depuis 2018. Son expertise se concentre sur des thématiques à la croisée de la technologie et de l'industrie, notamment l'Internet des objets (IoT), l'IoT industriel, et la cybersécurité pour les systèmes OT (Operational Technology).

Linkedin