Selon l’agence roumaine de cybersécurité, une attaque par ransomware a visé l’Administrația Națională Apele Române (Apele Române), l’administration nationale des eaux, avec des travaux de remédiation toujours en cours.
L’agence roumaine de cybersécurité a confirmé qu’une attaque ransomware majeure a touché l’Administrația Națională Apele Române (ANAR), l’organisme public chargé de la gestion des ressources en eau du pays. Environ 1 000 systèmes informatiques ont été compromis, et les opérations de remédiation sont toujours en cours.
Une compromission d’ampleur nationale
Selon les autorités, l’attaque a débuté le 20 décembre et s’est rapidement propagée à dix des onze administrations régionales de bassins hydrographiques. Les systèmes affectés incluent :
- serveurs d’applications SIG (systèmes d’information géographique),
- serveurs de bases de données,
- postes de travail et serveurs Windows,
- serveurs de messagerie et web,
- serveurs DNS.
Le site web officiel de l’administration reste indisponible, la communication étant assurée via des canaux alternatifs.
ANAR supervise des infrastructures critiques, notamment les barrages, les voies navigables, l’approvisionnement en eau potable et les systèmes nationaux de surveillance hydrologique.
Continuité opérationnelle maintenue
Malgré l’ampleur de l’incident, la Direction nationale roumaine de la cybersécurité (DNSC) affirme que les capacités opérationnelles n’ont pas été impactées. Les opérations hydrotechniques se poursuivent normalement, assurées localement par du personnel sur site.
Cette continuité est un point crucial, les autorités soulignant qu’aucune perturbation n’a affecté la distribution d’eau ou la gestion des infrastructures physiques.
Un ransomware atypique reposant sur BitLocker
L’attaque est qualifiée de ransomware, mais présente une particularité notable :
les assaillants auraient utilisé BitLocker, la fonctionnalité de chiffrement native de Windows, pour verrouiller les fichiers.
Les attaquants ont laissé des notes de rançon, exigeant l’ouverture de négociations dans un délai de sept jours. Toutefois, l’usage d’un outil légitime du système d’exploitation suggère qu’il ne s’agit pas nécessairement d’un groupe ransomware classique utilisant un malware dédié.
« Nous réitérons que la politique stricte du DNSC est de ne pas contacter ni négocier avec les cyberattaquants, afin de ne pas encourager ou financer la cybercriminalité », a déclaré l’agence.
Les autorités demandent également d’éviter de solliciter les équipes IT d’ANAR afin de leur permettre de se concentrer sur la restauration des services.
Une infrastructure critique encore insuffisamment protégée
Un élément préoccupant réside dans le fait que le réseau de l’administration des eaux n’était pas intégré au système national de protection des infrastructures critiques.
À l’image du service Early Warning du NCSC britannique, ce dispositif permet de superviser le trafic des systèmes critiques afin de détecter les comportements anormaux et bloquer les attaques en amont.
La DNSC a toutefois confirmé que les démarches nécessaires pour intégrer cette infrastructure au dispositif national de protection cyber sont désormais engagées.
Une menace croissante pour les services de l’eau
Cette attaque s’inscrit dans une tendance mondiale préoccupante visant les organismes responsables de l’eau potable. Ces entités représentent des cibles stratégiques, tant pour la criminalité financière que pour des actions de déstabilisation.
Ces derniers mois, des incidents similaires ont été observés :
- au Canada, où des hacktivistes ont compromis des systèmes liés à l’eau, à l’énergie et à l’agriculture,
- au Royaume-Uni et aux États-Unis, où les autorités ont publié plusieurs alertes concernant des tentatives d’intrusion dans des administrations de l’eau.
La compromission de systèmes gérant l’eau potable constitue un enjeu majeur de sécurité nationale, en raison des risques directs pour la population et la stabilité des États.
L’attaque contre Administrația Națională Apele Române illustre l’évolution des menaces :
des attaques de type “living-off-the-land”, exploitant des outils légitimes comme BitLocker, capables de provoquer des impacts massifs tout en compliquant l’attribution et la détection.
Même si l’incident n’a pas affecté les opérations critiques, il met en lumière l’urgence de renforcer la protection cyber des infrastructures essentielles, en particulier celles liées à l’eau, dont la résilience est désormais indissociable de la sécurité nationale.
🚨 Impact: environ 1 000 systèmes compromis. Les actifs affectés incluent:
- Serveurs d’applications SIG (GIS)
- Serveurs de bases de données
- Postes de travail Windows
- Windows Servers
- Serveurs email et web
- Serveurs DNS
💻 Le site web officiel reste hors ligne, et les informations officielles sont diffusées via des sources alternatives.
💧 Apele Române supervise une partie critique de l’infrastructure hydrique nationale, notamment les barrages, voies navigables, approvisionnements en eau potable et systèmes de surveillance.
Il s’agit d’une annonce d’incident visant à informer sur l’attaque, son ampleur et les systèmes affectés.
🔗 Source originale : https://www.theregister.com/2025/12/22/around_1000_systems_compromised_in/