La numérisation des infrastructures des villes répond à une densification urbaine grandissante ainsi qu’à des besoins d’efficacité et de sobriété énergétiques. Mais cette transition vers des villes plus connectées soulève toutefois des questions en matière de cybersécurité. Car tout ce qui est connecté peut être vulnérable. Et les cyber-criminels ont largement démontré leur capacité à exploiter les vulnérabilités inhérentes à ces nouvelles architectures. Panorama de la surface d’attaque des villes connectés.
Éclairage, signalisation, mobilité urbaine, eaux, vidéosurveillance, gestion technique des bâtiments, énergie, parking… : en connectant ses systèmes essentiels, les smart cities offrent de nouvelles perspectives mais étendent du coup leur surface d’attaque. Retour sur ces défis de cybersécurité au travers d’un top 8 des cyberattaques contre les villes connectées et les smart cities, antéchronologique mais non-exhaustif.
États-Unis, 2023 : quand la régie des eaux est momentanément mise hors service
En novembre 2023, l'Autorité municipale des eaux d'Aliquippa, en Pennsylvanie, a été victime d'une cyberattaque sur ses équipements de contrôle de pression de l’eau, rapporte CBS News Pittsburgh. Le samedi 25 novembre, un équipement informatique de l'autorité de l'eau, qui surveille la pression, a cessé de fonctionner, affichant à la place un message anti-israélien.
Une cyberattaque aux implications internationales, car elle a ensuite été revendiquée par les Cyber Av3ngers, un groupe cyber-criminel iranien déjà impliqué dans des incidents similaires en Israël.
Angleterre, 2023 : quand des messages hacktivistes sont affichés sur les bus
En octobre 2023, le groupe d'hacktiviste The Dyke Project a pris le contrôle des publicités du réseau de transport en commun de Londres. Selon les informations du journal en ligne Slate, les cyber-criminels ont remplacé les publicités traditionnelles par des messages issus de Queering the Map, un site qui permet aux personnes LGBT+ de partager des messages anonymes et géolocalisés.
Transport for London, l'organisme public chargé des transports, a confirmé la cyberattaque et a retiré ces publicités non autorisées, conformément à la politique de l'entreprise.
Pologne, 2023 : quand une cyberattaque paralyse le système de transport
En juin 2023, la ville d'Olsztyn, en Pologne, a subi une cyberattaque paralysant son système de transport, comme rapporté par LeMagIT. Olsztyn, connue pour ses fonctionnalités de ville intelligente, intègre un centre de gestion du trafic, la surveillance des intersections avec détection des infractions, des hotspots Wi-Fi dans les tramways, et un système d’information météo. L'attaque a affecté près d’une centaine d’intersections dans le centre-ville, perturbant les feux de signalisation et d'autres éléments vitaux du système de transport.
En conséquence, d'importants embouteillages se sont formés sur les axes principaux de la ville, et les citoyens ont rencontré des problèmes pour acheter des tickets de transport public. Suite à l'attaque, la ZDZiT, la régie des transports de la ville, a dû déconnecter physiquement les serveurs du réseau pour contenir la situation.
Irlande, 2022 : quand un résident contourne le système informatique du parking
En mai 2022, David Young a comparu devant le tribunal pénal de Cork, en Irlande, pour avoir exploité une vulnérabilité dans le système informatique de la société privée gérant le système de stationnement pour le compte du conseil municipal. L'information rapportée par le journal Irish Examiner indique que David Young, pendant une mise à jour logicielle, a trouvé une faille temporaire permettant la modification manuelle des comptes clients. Il a ensuite utilisé cette faille pour augmenter frauduleusement son crédit de stationnement.
Pour résoudre le problème, la société a engagé un consultant informatique, ce qui a entraîné des coûts d’analyse et de mise à jour de plus de 12 000 €. Quant à David Young, il a plaidé coupable et a pris en charge ces coûts ainsi que le montant du stationnement indûment crédité.
Chine, 2019 : quand une fuite de données dévoile un système de surveillance massif
En mai 2019, une fuite de données concernant un système de surveillance dans les villes intelligentes chinoises a été découverte. L'entretien du chercheur en sécurité John Wethington avec le site d'information TechCrunch a permis d'en apprendre plus sur l'ampleur de cette découverte. Le chercheur en sécurité a en effet trouvé une base de données Elasticsearch, exposée sur internet et ne nécessitant pas de mot de passe et contenant des gigaoctets de données de reconnaissance faciale sur des centaines de personnes, collectées sur plusieurs mois.
Une fuite qui soulève des questions sur l'utilisation de la reconnaissance faciale et des systèmes de surveillance dans les villes intelligentes.
États-Unis, 2017 : quand des cyber-criminels activent des sirènes d'urgence en pleine ville
En avril 2017, à Dallas, 156 systèmes d'alarme d'urgence ont été activés simultanément par des cyber-criminels, révèle le magazine Forbes. Cette attaque, survenue peu avant minuit, a été confondue avec une alerte météorologique grave, sans signe de catastrophe naturelle imminente. Le Bureau de Gestion des Urgences de Dallas a dû intervenir rapidement pour désactiver les alarmes et a fait appel à la Commission Fédérale des Communications pour identifier les auteurs.
L'incident a non seulement engendré une perturbation sonore considérable dans la ville, mais a aussi provoqué une hausse des appels au 911, surchargeant les services d'urgence. Si les systèmes ont été rapidement rétablis, le maire de la ville Mike Rawlinson n'a pas hésité à réagir sur l'incident dans les colonnes de Forbes, expliquant que « ceci est un exemple sérieux de la nécessité pour nous d'améliorer et de mieux sécuriser l'infrastructure technologique de notre ville ».
Finlande, 2016 : quand une attaque DDoS coupe le chauffage d'appartements
En novembre 2016, à Lappeenranta, une ville finlandaise de 60 000 habitants, une cyberattaque DDoS a perturbé les systèmes de contrôle de deux immeubles résidentiels, laissant les résidents sans chauffage ni eau chaude, selon les informations rapportées par Forbes. Les bâtiments ont subi une attaque qui a provoqué le redémarrage incessant de leurs systèmes de chauffage et d'eau chaude, entraînant une boucle sans fin qui a fini par bloquer le fonctionnement normal.
Bien que les températures locales n'aient pas atteint des niveaux extrêmement bas au moment de l'attaque, l'incident marquait une première étape quant à la cybersécurité des bâtiments connectés.
États-Unis, 2014 : quand des chercheurs en cybersécurité contrôlent des feux de circulation
En août 2014, des chercheurs de l'Université du Michigan en collaboration avec une agence routière locale ont révélé une vulnérabilité dans les systèmes de gestion de feux de circulation. En utilisant de simples ordinateurs portables, ils ont pu facilement contrôler 100 feux de circulation dans l'État du Michigan en altérant le délai des feux d’intersections pour créer une série de feux verts.
L'information, alors publiée par le Daily Mail, met en lumière les failles de sécurité d’un système utilisé dans 40 États américains, comprenant l'utilisation de réseaux sans fils non sécurisés et de mots de passe par défaut.
Il apparaît évident que la connectivité accrue des systèmes urbains ouvre de nouvelles portes aux cyber-criminels. De l'exploitation des feux de circulation à la compromission des systèmes de surveillance, tous ces incidents démontrent l'importance de mise en œuvre d'une cybersécurité renforcée permettant de protéger les infrastructures vitales.