Pendant près de deux ans, des pirates sont restés invisibles chez un spécialiste de la gestion et du traitement de l’eau.L’ICO, régulateur britannique des données personnelles, a infligé une amende de 963 900 £ (1,1 million d’euros) à South Staffordshire Water après une intrusion attribuée au groupe rançongiciel Cl0p. L’attaque, commencée en septembre 2020 par une pièce jointe piégée, n’a été détectée qu’en juillet 2022, à cause d’un ralentissement informatique. Les données de 633 887 clients et salariés ont ensuite été publiées en août 2022.
Une intrusion longue et silencieuse
South Staffordshire Water alimente 1,6 million de personnes en eau potable. Selon l’Information Commissioner’s Office, l’entreprise a laissé les pirates de Cl0p évoluer dans son réseau informatique pendant presque deux ans avant de comprendre qu’une attaque était en cours. Le point de départ remonte à septembre 2020. Un salarié ouvre alors une pièce jointe malveillante. Le fichier installe un logiciel donnant à l’attaquant un premier accès au réseau de l’entreprise.
La suite illustre un scénario redouté par les responsables de sécurité : un pirate discret, patient, difficile à repérer. Jusqu’en mai 2022, l’acteur malveillant reste caché. Il commence ensuite à se déplacer dans les systèmes internes en utilisant un compte administrateur de domaine. Ce niveau d’accès donne les privilèges les plus élevés sur l’environnement informatique. En pratique, il permet de franchir de nombreuses barrières internes quand celles-ci ne sont pas strictement segmentées.
L’entreprise ne repère l’intrusion qu’en juillet 2022. Le signal d’alerte n’est pas une détection de sécurité, mais une baisse des performances informatiques. Cette anomalie déclenche une enquête interne. Deux semaines plus tard, South Staffordshire Water découvre une note de rançon que l’attaquant avait tenté, sans succès, de diffuser à certains membres du personnel.
Après l’incident, environ 4,1 téraoctets de données sont retrouvés publiés sur le dark web. Les informations exposées comprennent des noms, des adresses, des dates de naissance, des numéros de comptes bancaires, des sort codes, des numéros d’assurance nationale et, pour une faible part de clients inscrits au Priority Services Register, des éléments pouvant laisser déduire des handicaps.
L’ICO relève quatre manquements précis. L’un des plus significatifs concerne le principe du moindre privilège. Ce contrôle impose de limiter les droits d’un utilisateur à ce qui est nécessaire à sa fonction. Dans ce dossier, son application insuffisante a permis à l’attaquant de circuler largement dans le réseau avec un compte administrateur.
La surveillance était également lacunaire. En décembre 2021, plus d’un an après le premier accès, un centre opérationnel de sécurité externalisé ne couvrait que 5 % de l’environnement informatique de l’entreprise. Le prestataire n’est pas nommé dans le rapport de l’ICO. Le régulateur précise que la télémétrie des terminaux et les journaux d’activité n’étaient pas intégrés à la plateforme de supervision.
Des systèmes obsolètes et des alertes manquées
Certains appareils fonctionnaient encore avec Windows Server 2003, dont le support étendu a pris fin en juillet 2015. Cette situation accroît mécaniquement l’exposition, car les vulnérabilités connues ne bénéficient plus des protections normales d’un éditeur. Interrogée sur d’éventuels scans de vulnérabilités menés entre septembre 2020 et mai 2022, en interne ou par un prestataire, l’entreprise a confirmé qu’aucun registre n’existait pour ces contrôles.
Deux contrôleurs de domaine n’avaient pas non plus été corrigés contre ZeroLogon, une faille critique publiée en août 2020. Cette vulnérabilité permet une élévation rapide des privilèges. L’attaquant l’a exploitée pendant l’incident. Le cas montre la différence entre une faille théorique et un risque opérationnel : un correctif absent peut transformer une présence discrète en accès dominant sur le réseau.
Ian Hulme, directeur exécutif intérimaire de la supervision réglementaire à l’ICO, résume l’enjeu : « Attendre des problèmes de performance ou une note de rançon pour découvrir une faille n’est pas acceptable. » Il ajoute que « la sécurité proactive est une obligation légale, pas un supplément facultatif ».
L’affaire devient publique en août 2022, lors d’une tentative d’extorsion confuse. Cl0p affirme alors avoir volé des données à Thames Water, autre fournisseur qui dessert environ 15 millions de personnes à Londres et dans sa région. Le groupe prétend aussi pouvoir modifier la composition chimique de l’eau distribuée. South Staffordshire conteste cette affirmation. La décision de sanction ne mentionne aucune compromission des systèmes opérationnels ni des installations de traitement de l’eau.
Le régulateur classe les infractions dans une catégorie de gravité moyenne. Il réduit l’amende en tenant compte de la coopération de South Staffordshire, de sa reconnaissance rapide de responsabilité et des mesures d’atténuation prises après l’attaque. Une autre réduction discrétionnaire est accordée, mais sa justification est masquée dans l’avis publié. L’entreprise a conclu un accord volontaire plus tôt cette année, obtenant une baisse de 40 %, et s’est engagée à ne pas contester la décision.
Le gouvernement britannique prépare le Cyber Security and Resilience Bill, destiné à élargir les obligations de signalement et à renforcer les exigences imposées aux opérateurs d’infrastructures critiques. Les attaques par rançongiciel contre les systèmes bureautiques de compagnies d’eau existent, comme au Royaume-Uni ou chez Aigües de Mataró en Espagne. Les perturbations réelles du service restent toutefois très rares.
Un cas notable s’est produit en décembre 2023 sur la côte ouest irlandaise, où des habitants d’une zone isolée ont été privés d’eau plusieurs jours après une attaque contre un composant opérationnel. Le groupe pro-iranien impliqué visait des équipements Unitronics, des automates programmables utilisés dans le secteur de l’eau. Aux États-Unis, les autorités fédérales avaient alerté sur l’exploitation de ces PLC, composants centraux de nombreux systèmes industriels.
Cette affaire rappelle qu’en cyber-renseignement, la menace critique n’est pas toujours l’attaque spectaculaire, mais l’intrusion silencieuse que personne ne voit ou ne regarde.
merci à ZATAZ
