Des interfaces HMI mal configurées ont exposé les systèmes d’eau américains à des attaques à distance via des navigateurs.
Des chercheurs en cybersécurité de WaterISAC ont identifié de nombreuses interfaces homme-machine (HMI), mal configurées et pourtant utilisées dans les infrastructures hydrauliques aux États-Unis. Ces HMI étaient accessibles publiquement sur Internet sans aucune authentification. Ces interfaces permettent de contrôler des fonctions critiques telles que le débit d’eau, le fonctionnement des pompes ou le dosage chimique. Dans de nombreux cas, les HMI sont configurées avec les paramètres par défaut, sans pare-feu adapté, et sont indexées par les moteurs de recherche. Cette exposition permet à n’importe quel utilisateur non authentifié de visualiser voire potentiellement de manipuler les opérations des systèmes. WaterISAC souligne le risque élevé de perturbations accidentelles ou d’attaques ciblées pouvant compromettre la sécurité publique et l’intégrité des services essentiels.
Analyse de nos experts :
L’exposition d’interfaces HMI de systèmes hydrauliques américains à Internet, sans aucune authentification, reflète une faillite nette des pratiques élémentaires en cybersécurité. Le recours à des configurations par défaut, l’absence de segmentation réseau ou de protection par pare-feu augmentent considérablement les risques d’accès non autorisé. Le fait que ces interfaces critiques soient indexées par des moteurs de recherche ajoute une couche de vulnérabilité évitable, et montre un manque flagrant de respect des standards de sécurité ICS/SCADA. Ces systèmes pilotent des services publics vitaux, et leur déploiement sans protection suffisante multiplie les risques de perturbation, qu’elle soit involontaire ou malveillante.
Lire l’article complet ici.
