En 1998, un pirate de douze ans prenait, un peu par hasard, le contrôle du barrage hydroélectrique Roosevelt, en Arizona. Selon les autorités, il aurait pu ouvrir les vannes du plus grand barrage du pays, et déverser 1850 trillions de litres d’eau.

En janvier dernier un ordinateur portable d’Al Qaeda découvert en Afghanistan par des soldats américains aurait contenu, justement, un modèle de barrage américain, réalisé à l’aide de logiciels d’ingénierie chargés d’étudier les résistances des matériaux et des constructions, notamment Microstran, bien connu des ingénieurs.

Plus troublant encore : le FBI aurait informé le gouvernement américain d’une recrudescence des recherches d’information concernant les systèmes de contrôle des barrages, des centrales électriques, des commutateurs téléphoniques et de l’alimentation en eau (voir notre brève du 1er février 2002).

Enfin, dernière pièce du puzzle : une faille découverte en février dernier dans le protocole ASN.1, chargé de la transmission de données de contrôle vers de nombreux systèmes industriels, aurait pu permettre, toujours selon le FBI, de neutraliser des pans entiers du réseau téléphonique américain et de perturber sérieusement les communications entre les avions en vol et leur contrôle au sol. Et les détails d’ASN.1 semblent également au menu de nombreuses recherches anonymes sur Internet, majoritairement relayées par des opérateurs de télécommunication d’Arabie Saoudite, d’Indonésie ou du Pakistan.

L’inquiétude du gouvernement américain est désormais à son comble, même si elle n’est pas entièrement justifiée. La majorité des alertes proviennent en effet de la même source, le FBI, qui peut avoir intérêt à noircir le tableau afin de justifier des budgets accrus et sa nouvelle position dominante dans l’effort de protection des infrastructures critiques. L’intox n’est donc pas à écarter, mais les menaces sont elles, en partie du moins, bien réelles. De nombreuses rencontres entre spécialistes, universitaires et industriels ont mis en évidence la vulnérabilité des trois millions de systèmes SCADA (Supervisory Control And Data Acquisition ), qui pilotent tout aux Etats-Unis, des aiguillages ferroviaires à l’alimentation en eau potable, en passant par la production d’électricité. Et ces systèmes sont de plus en plus fréquemment connectés à Internet. Lors de tests d’intrusion sur de tels outils, les  » Red Team « , ces équipes de pirates du département américain de l’énergie, sont systématiquement parvenus à en prendre le contrôle, réussissant notamment à diriger des pans entiers de systèmes d’alimentation électrique.

Ainsi, même si le cyber-effort de groupes terroristes n’est pas aussi fort que voudrait le faire croire le FBI, et même si les compétences en la matière d’ Al Qaeda, victime toute désignée, ne sont pas aussi affûtées que la paranoïa américaine l’imagine, les vulnérabilités, elles, sont bien réelles.

Et si une cyber-attaque isolée n’aurait guère d’impact, elle peut parfaitement amplifier la panique et la désorganisation causées par une attaque conventionnelle. Quant à la faisabilité d’une telle attaque concertée, personne ne semble plus dupe. Après tout, si un adolescent de douze ans peut ouvrir les vannes du plus grand barrage du pays…

Sources : The Washington Post et MSNBC.