Récemment, le groupe de hackers Handala, soi-disant lié à l’Iran, a revendiqué avoir compromis le réseau de la Californian Water Service et affirmé pouvoir couper l’eau de deux millions de Californiens. Pour étayer leur déclaration, ils ont diffusé 5 Go de données, suscitant inquiétude et spéculations. Cependant, une analyse approfondie de cette faille révèle que cette prétendue invasion ne dépasse pas le cadre d’une fuite de données clientèles, sans impact direct sur la distribution d’eau elle-même.
Les experts ont dissectionné ce qui a été réellement piraté par Handala. La faille exploité était en fait un serveur RTKBase, un outil open-source de correction GPS accessible via HTTP sur le port 10000, avec des identifiants en clair. Ce serveur était en ligne depuis plus d’un mois, sans aucune protection, permettant aux hackers d’accéder aux systèmes de facturation et aux données personnelles de plusieurs districts. Noms, adresses, numéros de téléphone, historiques de paiement : voilà ce qu’ils ont pu récupérer. Mais le cœur du réseau, notamment le système de contrôle des infrastructures d’eau, est resté inviolé.
Rien dans ces données ne montre que Handala ait pu compromettre le système de distribution ou le contrôle physique de l’eau.
Les systèmes critiques, comme le SCADA, qui gèrent la distribution d’eau dans la vraie vie, au sens physique du terme, n’ont pas été touchés par cette intrusion. Les analystes spécialisés insistent : il s’agit simplement d’une fuite d’informations personnelles, et non d’une attaque pouvant entraîner une coupure d’eau. La menace d’un sabotage réel de ces infrastructures reste donc largement infondée dans le contexte de cette opération, malgré la bravade affichée par le groupe.
Pour mieux comprendre, il faut faire la différence entre une attaque qui cible réellement le contrôle physique des infrastructures — comme celles de 2015 en Ukraine ou le cas de Stuxnet en Iran — et une simple fuite de données. Handala ne maîtrise pas ces systèmes sensibles, contrairement aux véritables opérations cybercriminelles ou cyberespionnage qui concernent le vrai OT. La menace d’une coupure volontaire d’eau par ces hackers reste donc purement théorique, doublée d’une mise en scène destinée à impressionner.
Les véritables menaces viennent plutôt de groupes qui ciblent directement le cœur des systèmes de contrôle industriel, pas d’opérations de hacking orientées à la divulgation de données personnelles.
Il est également important de relativiser le contexte autour de Handala, qui représente la façade hacktiviste de Void Manticore, une milice cybernétique affiliée au renseignement iranien. Ce groupe a déjà mené des attaques destructrices, notamment contre Stryker, une entreprise de matériel médical, utilisant des méthodes mêlant vol de données puis destruction. Depuis 2023, d’autres groupes iraniens comme CyberAv3ngers ont également ciblé des stations d’eau américaines, piratant notamment des automates et alertant la cybersecurity nationale. La routine des attaques contre les infrastructures vitales américaines par des acteurs iraniens est désormais une réalité inquiétante, mais elle ne concerne pas encore directement la capacité de ces hackers à interrompre la fourniture d’eau.
En conclusion, si Handala a exposé des failles de sécurité importantes, il ne doit pas être considéré comme une menace immédiate pour la coupure d’eau dans une ville américaine. La véritable vulnérabilité réside dans la fragilité des systèmes de gestion des données, et non dans la capacité de ces groupes à manipuler physiquement les infrastructures vitales. La vigilance doit continuer, mais sans céder à la panique face à des menaces qui, pour l’instant, restent largement symboliques.
