Plusieurs agences gouvernementales américaines, dont la CISA, le FBI et la NSA, avertissent que des pirates informatiques ciblent les systèmes de jaugeage automatique de réservoirs, ou ATG, qui sont exposés sur Internet. Ces dispositifs sont employés pour surveiller le niveau des cuves de carburant et de liquides dans divers secteurs d’infrastructures critiques.
La CISA précise que les systèmes ATG sont communément utilisés dans les secteurs de l’Énergie, de la Chimie, de l’Alimentation et de l’Agriculture, ainsi que des Transports. Ils servent à contrôler à distance les niveaux des réservoirs de stockage, les températures et les fuites éventuelles.
Selon ces agences, les assaillants compromettent ces équipements accessibles en ligne et modifient leurs réglages par l’exécution de commandes. Le gouvernement américain n’a pas encore attribué cette activité malveillante à une nation ou à un groupe d’acteurs de la menace précis.
Les attaquants obtiennent un accès en exploitant des vulnérabilités qui permettent de contourner l’authentification. Ils utilisent aussi des identifiants codés en dur dans le système, des failles d’exécution de commandes au niveau du système d’exploitation, des injections SQL et des faiblesses qui mènent à une élévation de privilèges.
Une fois le système compromis, les pirates peuvent modifier les paramètres réseau, les identifiants des produits, les volumes des cuves et les commandes des pompes. Ils peuvent également désactiver les alarmes et créer des conditions qui empêchent les opérateurs de contrôler correctement les niveaux de remplissage. Cette situation accroît les risques de fuites ou de défaillances matérielles.
Les agences recommandent aux organisations de bloquer l’accès Internet aux systèmes ATG. Elles conseillent aussi de restreindre l’accès distant via des pare-feu, des VPN ou des listes de contrôle d’accès. Il faut remplacer les mots de passe par défaut, utiliser des identifiants robustes avec une authentification multifacteur, appliquer les mises à jour de sécurité et surveiller activement les systèmes pour détecter tout changement non autorisé.
Des pirates iraniens avaient déjà mené des activités similaires
L’avertissement ne nomme aucun acteur spécifique, mais il fait suite à un reportage de CNN en mai. Ce dernier révélait que des pirates liés à l’Iran étaient à l’origine d’une série d’intrusions dans des systèmes ATG de stations-service dans plusieurs États américains.
D’après CNN, les attaquants avaient exploité des systèmes ATG connectés à Internet et protégés par des mots de passe faibles ou inexistants. Cela leur a permis d’accéder aux relevés d’affichage et de les manipuler, mais ils n’ont pas modifié les niveaux réels de carburant.
Ces incidents n’ont apparemment causé aucun dommage physique. Ils ont toutefois suscité des inquiétudes quant à la capacité des pirates à interférer avec la détection des fuites et d’autres fonctions liées à la sécurité.
CNN a rapporté que l’Iran était le principal suspect en raison de son historique de ciblage des systèmes de gestion de carburant et d’autres technologies de contrôle industriel. Cependant, plusieurs sources informées de l’enquête ont indiqué qu’il pourrait être impossible d’attribuer cette activité à un attaquant spécifique, car les preuves médico-légales laissées par les attaques étaient limitées.
La CISA et ses partenaires demandent aux organisations qui utilisent des systèmes ATG d’examiner leur exposition et de mettre en œuvre les mesures d’atténuation recommandées sans délai pour réduire le risque de compromission.