Cinq usines polonaises piratées : le récit d'une infiltration silencieuse
L'annonce est tombée comme un coup de tonnerre dans le monde de la cybersécurité. L'Agence polonaise de sécurité intérieure (ABW) a confirmé que des hackers avaient pénétré les systèmes de contrôle industriels de cinq stations d'épuration et de traitement d'eau potable réparties sur le territoire polonais. Pendant plusieurs mois, ces intrusions sont passées inaperçues.
Les attaquants ne se sont pas contentés d'observer. Selon les enquêteurs, ils avaient acquis la capacité de modifier les paramètres de fonctionnement des équipements, ce qui signifie qu'ils pouvaient théoriquement altérer la composition chimique de l'eau distribuée à des milliers de foyers. Une porte dérobée dans le système, et c'est tout le réseau d'approvisionnement qui devenait une cible potentielle.
"admin/admin" sur le SCADA : comment cinq usines d'eau polonaises ont été ouvertes aux hackers
Le mode opératoire des pirates tient plus de la négligence que du génie technique. Les cinq sites concernés — Jabłonna Lacka, Szczytno, Małdyty, Tolkmicko et Sierakowo — utilisaient des mots de passe par défaut pour accéder à leurs systèmes SCADA (Supervisory Control and Data Acquisition). Ces logiciels, qui permettent de piloter à distance les pompes, les vannes et les capteurs de traitement de l'eau, étaient directement connectés à Internet sans aucune isolation réseau.
Pour les non-initiés, un système SCADA fonctionne comme le tableau de bord d'une centrale : il affiche les niveaux de chlore, le pH, la pression, et permet d'ajuster chaque paramètre en un clic. Quand le mot de passe est "admin" ou laissé en configuration d'usine, n'importe qui, de l'autre côté du globe, peut prendre la main. C'est exactement ce qui s'est passé en Pologne.
Les hackers ont exploité des failles matérielles aussi basiques que des équipements Rockwell Automation exposés sans pare-feu. Une fois à l'intérieur, ils pouvaient jouer avec la chimie de l'eau : augmenter ou réduire le dosage de chlore, modifier le pH, voire interrompre complètement le traitement. Un scénario qui fait froid dans le dos quand on sait que la modification du taux d'hydroxyde de sodium peut rendre l'eau mortelle en quelques heures.
"Encore aujourd'hui, ils essayent" : le vice-Premier ministre Krzysztof Gawkowski tire la sonnette d'alarme
Krzysztof Gawkowski, vice-Premier ministre polonais chargé de la numérisation, n'a pas mâché ses mots. Dans une déclaration au Parisien, il a affirmé : "Une guerre numérique avec la Russie est en cours. Aujourd'hui encore, ils essayent." Il a révélé qu'en août 2025, une cyberattaque contre le réseau d'eau et d'assainissement d'une ville polonaise de taille moyenne avait été déjouée "au dernier moment".
"On aurait pu arriver à une situation où l'une des villes de taille moyenne se serait retrouvée sans eau", a-t-il confié. Son refus de nommer la ville concernée en dit long sur le tabou qui entoure ces incidents. Les autorités polonaises craignent que la simple évocation d'une attaque réussie ne provoque une panique généralisée.
Selon Varsovie, 99 % des attaques numériques sont neutralisées avant d'atteindre leur cible. Mais ce chiffre, aussi rassurant soit-il, signifie aussi qu'1 % des tentatives passent entre les mailles du filet. Avec des infrastructures vieillissantes et des équipes de sécurité souvent réduites à peau de chagrin dans les petites communes, la marge d'erreur est terrifiante.
Oldsmar, Floride, 2021 : le jour où un pirate a tenté d'empoisonner une ville
L'attaque polonaise ne sort pas de nulle part. Elle s'inscrit dans une lignée inquiétante de tentatives de sabotage d'infrastructures hydrauliques. Le cas le plus emblématique reste celui d'Oldsmar, une petite ville de Floride, où en février 2021, un hacker a failli empoisonner des milliers d'habitants.
Ce n'est pas de la science-fiction, c'est déjà arrivé. Et le scénario est glaçant de simplicité.
L'opérateur qui a sauvé une ville : le récit du piratage de Floride en 2021
Ce jour-là, un opérateur de l'usine de traitement d'eau d'Oldsmar surveille ses écrans comme à son habitude. Soudain, il voit le curseur de sa souris bouger tout seul. Une main invisible navigue dans les menus du système SCADA, ouvre le panneau de contrôle des produits chimiques, et augmente progressivement le dosage d'hydroxyde de sodium — de la soude caustique — jusqu'à un niveau potentiellement mortel.
L'opérateur ne panique pas. Il regarde, stupéfait, le curseur qui ajuste les paramètres avec une précision chirurgicale. Puis il réagit : il reprend le contrôle manuel du système et réduit immédiatement le dosage. L'attaque est stoppée net.
Si l'opérateur avait quitté son poste cinq minutes plus tôt, ou si l'attaque était survenue en pleine nuit, l'eau contaminée aurait atteint les habitations en moins d'une heure. Des milliers de personnes auraient pu boire une eau chargée de soude caustique, provoquant des brûlures internes et, dans les cas les plus graves, la mort.
Comment un hacker a failli empoisonner des milliers d'habitants avec TeamViewer
Le vecteur de l'attaque est d'une banalité confondante. Les employés de l'usine utilisaient TeamViewer, un logiciel de bureau à distance, pour accéder aux systèmes depuis leurs postes de travail. Un seul ordinateur, mal sécurisé, a suffi aux pirates pour entrer.
Le problème n'était pas un équipement de pointe, mais une mauvaise habitude : laisser un accès à distance ouvert en permanence, sans double authentification, avec un mot de passe faible. Exactement la même faille humaine et matérielle que celle exploitée en Pologne cinq ans plus tard.
Ce parallèle est essentiel : que ce soit en Floride, en Pologne ou ailleurs, les cyberattaques contre les usines d'eau exploitent toujours les mêmes négligences. Des mots de passe par défaut, des systèmes exposés à Internet, des employés qui ne changent jamais leurs identifiants. La technologie évolue, mais les mauvaises habitudes restent.
70 % des usines américaines ratent les tests de sécurité… et la France ?
Si la Pologne et les États-Unis sont sous le feu des projecteurs, le problème est en réalité systémique. Les infrastructures hydrauliques du monde entier partagent les mêmes vulnérabilités. Les chiffres américains sont édifiants : selon l'EPA (Environmental Protection Agency), 70 % des usines de traitement d'eau américaines échouent aux audits de sécurité les plus basiques.
Ce chiffre, relayé par TNW, montre que la menace n'est pas une question de pays ou de régime politique. C'est une question de négligence généralisée. Les mêmes vecteurs d'attaque — mots de passe par défaut, systèmes exposés, absence de segmentation réseau — sont exploités par des hackers iraniens, russes ou chinois, sur des équipements Rockwell Automation identiques d'un bout à l'autre de la planète.
De la Pologne aux États-Unis, le même mot de passe par défaut met en danger l'eau potable
En avril 2026, le FBI, la CISA, la NSA, l'EPA, le Département de l'Énergie et le Cyber Command américain ont publié une alerte conjointe. Leur constat est accablant : des acteurs cybernétiques affiliés à l'Iran ciblent activement les automates programmables (PLC) utilisés dans les usines d'eau et d'énergie américaines. Le groupe CyberAv3ngers, lié au Corps des Gardiens de la Révolution islamique, a déjà pénétré plusieurs installations en exploitant des mots de passe par défaut sur des équipements accessibles depuis Internet.
La menace étatique est planétaire. Comme le montre l'extradition d'un hacker chinois vers les États-Unis, les cyberattaques contre les infrastructures critiques sont devenues un outil de pression géopolitique. Chaque pays, chaque usine, chaque automate mal configuré est une porte ouverte à l'ennemi.
CACG, Saint-Pierre-des-Corps : quand l'eau française a déjà été la cible des hackers
La France n'est pas épargnée. L'ANSSI, dans son Panorama de la cybermenace 2025, rapporte avoir traité 3 586 événements de sécurité cette année-là. Si le secteur de l'eau n'est pas le plus touché en volume (derrière l'éducation et les collectivités territoriales), les incidents qui le concernent sont particulièrement sensibles.
En décembre 2023, la Compagnie d'Aménagement des Coteaux de Gascogne (CACG, devenue "Rives et Eaux du Sud-Ouest") a subi une attaque par rançongiciel. Le système d'information a été paralysé, menaçant directement la gestion des barrages et l'approvisionnement en eau de toute une région. Une cellule de crise a dû être activée pour éviter une interruption totale du service.
En 2024, c'est le réseau d'assainissement de Saint-Pierre-des-Corps, en Indre-et-Loire, qui a été ciblé. Les pirates ont tenté de prendre le contrôle des pompes de relevage des eaux usées. Une attaque qui, si elle avait réussi, aurait pu provoquer des inondations sanitaires dans toute la commune.
Ces incidents, rarement médiatisés, posent une question cruciale : les petites usines françaises, souvent gérées par des syndicats intercommunaux aux budgets serrés, sont-elles mieux protégées que leurs homologues polonaises ? Rien n'est moins sûr.
Gawkowski le dit : "La première étape est de nous couper de l'eau, du gaz, de l'électricité"
Au-delà des failles techniques, il y a une stratégie. Les cyberattaques contre les infrastructures hydrauliques ne sont pas du vandalisme gratuit. Elles s'inscrivent dans une guerre hybride où l'objectif est de paralyser une société sans déployer un seul soldat.
Krzysztof Gawkowski a été très clair sur ce point. Dans un message publié sur son compte X (anciennement Twitter), il écrit : "Aucun avion russe ne survolera Varsovie et aucun char n'y entrera. À leur place apparaîtront leurs équivalents numériques. La première étape d'une telle attaque peut consister à essayer de nous couper de l'eau, du gaz et de l'électricité."
Quand les robinets remplacent les tanks : la guerre hybride de la Russie contre l'Europe
Le groupe Sandworm, attribué aux services de renseignement russes, est déjà actif sur le sol polonais. En décembre 2025, il a ciblé le réseau électrique polonais, en s'attaquant aux parcs éoliens, aux centrales solaires et aux installations de cogénération. L'attaque a été attribuée par ESET, une entreprise slovaque de cybersécurité, qui a confirmé le lien avec Sandworm.
L'eau est une cible de choix dans cette guerre hybride. Elle est vitale, centralisée, difficile à décontaminer rapidement. Couper l'approvisionnement en eau d'une ville de taille moyenne, c'est provoquer une panique immédiate, saturer les hôpitaux, paralyser les écoles et les entreprises. C'est un levier de pression bien plus efficace qu'une attaque militaire classique.
Risques sanitaires, chantage, chaos : la vie quotidienne comme champ de bataille
Les conséquences humaines d'une attaque réussie seraient dévastatrices. Une surchloration de l'eau peut provoquer des brûlures chimiques, des nausées, des vomissements. Un sous-traitement, au contraire, laisse proliférer les bactéries et les virus, entraînant des épidémies de choléra ou de typhoïde dans les cas extrêmes.
Mais il y a aussi le chantage. Des hackers pourraient exiger une rançon en échange du rétablissement de l'eau potable. Ou menacer de révéler des failles de sécurité pour semer la panique. L'eau est devenue une arme, et les municipalités, souvent démunies face à ces menaces, sont en première ligne.
Alerte à l'eau contaminée : les 3 réflexes à connaître pour ne pas être pris au dépourvu
Face à cette menace, la meilleure défense reste la vigilance citoyenne. Les autorités françaises ont mis en place des dispositifs d'alerte, mais encore faut-il savoir les utiliser. Voici les réflexes à adopter si l'eau de votre robinet devient suspecte.
FR-Alert, ARS, couleur bizarre : les signaux faibles d'une cyberattaque sur l'eau
En France, le système FR-Alert permet d'envoyer une notification push directement sur votre téléphone mobile si vous vous trouvez dans une zone touchée par une menace grave. Si une cyberattaque compromet la qualité de l'eau, vous recevrez une alerte sur votre écran, sans avoir besoin d'installer une application.
Les Agences Régionales de Santé (ARS) communiquent également via les réseaux sociaux, les médias locaux et les panneaux d'affichage municipaux. En cas de doute, consultez le compte officiel de votre mairie ou celui de l'ARS de votre région.
Mais il y a aussi des signes physiques à repérer immédiatement. Si l'eau du robinet devient trouble, si elle dégage une odeur de chlore excessive ou au contraire absente, si la pression est anormalement irrégulière, ne la buvez pas. Ces signaux faibles peuvent indiquer qu'un pirate a modifié les paramètres de traitement.
"L'eau du robinet n'est plus potable" : que faire concrètement (et que ne pas faire) ?
Si vous recevez une alerte ou si vous remarquez un changement suspect, voici la checklist à suivre :
- Ne pas boire l'eau du robinet — ni pour vous, ni pour vos animaux de compagnie
- Ne pas cuisiner avec — la cuisson ne neutralise pas tous les contaminants chimiques
- Ne pas se brosser les dents — l'ingestion même minime peut être dangereuse
- Se tourner vers l'eau en bouteille — faites des réserves dès que possible
- Écouter la radio locale — France Bleu, les stations locales, ou vérifier les comptes officiels de la mairie
Attention : ne faites jamais bouillir l'eau sans consigne explicite de l'ARS. L'ébullition tue les bactéries mais ne neutralise pas les produits chimiques comme l'hydroxyde de sodium ou le chlore en excès. Au contraire, elle peut concentrer certains polluants.
Évitez aussi de tirer la chasse d'eau inutilement. Si les pompes de relevage sont bloquées par une cyberattaque, saturer les égouts peut provoquer des refoulements sanitaires.
Cybersécurité citoyenne : pourquoi ton coup d'œil au robinet peut sauver tout un quartier
L'opérateur de Floride a sauvé sa ville parce qu'il regardait son écran. Aujourd'hui, chaque citoyen peut être les yeux du système de sécurité. Si le goût, l'odeur ou la couleur de l'eau change soudainement dans toute la rue, signalez-le immédiatement à la mairie.
Ce réflexe, simple et puissant, est la première ligne de défense. Dans un monde où les hackers peuvent modifier les paramètres d'une usine à distance, où les alertes officielles peuvent mettre du temps à arriver, c'est la vigilance de chacun qui fait la différence.
Ne sous-estimez pas votre rôle. Un signalement rapide peut permettre aux autorités de couper l'arrivée d'eau avant que l'eau contaminée n'atteigne les habitations. C'est le geste le plus simple, et potentiellement le plus salvateur.
NIS2, ANSSI : les remparts français face à la menace (quid des 22 000 petites communes ?)
La France n'est pas restée les bras croisés face à la menace. La directive européenne NIS2, transposée dans le droit français en 2026, impose des obligations de cybersécurité aux opérateurs d'infrastructures critiques, y compris les services d'eau. Mais entre les textes et la réalité du terrain, le fossé est immense.
NIS2 et le secteur de l'eau : des obligations lourdes, une application inégale
La directive NIS2 exige des opérateurs qu'ils mettent en place une gestion des risques, qu'ils notifient obligatoirement les incidents de cybersécurité, et qu'ils engagent la responsabilité pénale des dirigeants en cas de non-conformité. Les grands groupes comme Veolia, Suez ou Eau de Paris se conforment à ces exigences, avec des équipes dédiées et des budgets conséquents.
Mais derrière ces géants, il y a des milliers de petites régies. Des syndicats intercommunaux qui gèrent l'eau de quelques villages, avec un budget serré et souvent pas de directeur des systèmes d'information (DSI). Pour eux, la cybersécurité est un luxe, pas une priorité.
Le drame des 22 000 points d'eau en France : quand la cybersécurité n'est pas une priorité budgétaire
La France compte environ 22 000 services d'eau, répartis entre communes et syndicats intercommunaux. Beaucoup achètent leurs logiciels et leurs automates "clés en main", sans jamais changer les mots de passe par défaut. Exactement la faille exploitée en Pologne.
Le problème est structurel. Une petite commune de 500 habitants n'a pas les moyens de recruter un expert en cybersécurité. Elle fait confiance au fournisseur de l'équipement, qui lui-même a souvent livré des systèmes mal configurés. Le résultat, c'est que des milliers de points d'eau en France sont potentiellement aussi vulnérables que ceux de Jabłonna Lacka ou de Małdyty.
La crainte des experts français est que le "scénario polonais" se reproduise dans une petite commune française isolée. Une attaque qui passerait inaperçue pendant des semaines, jusqu'à ce que l'eau devienne dangereuse. Sans les moyens de détection des grandes villes, ces petites structures sont des cibles idéales.
Conclusion : La guerre de l'eau ne fait que commencer
De la Pologne aux États-Unis en passant par la France, la menace est la même : des hackers exploitent des failles humaines pour prendre le contrôle de nos robinets. Les mots de passe par défaut, les systèmes exposés à Internet, les équipes sous-dimensionnées — les faiblesses sont les mêmes partout.
La régulation européenne NIS2 est un pas dans la bonne direction, mais elle ne résoudra pas tout. Les 22 000 points d'eau français, les petites communes, les syndicats intercommunaux ont besoin d'aide concrète, pas seulement de textes de loi. Et chaque citoyen, avec son coup d'œil au robinet et son signalement à la mairie, peut jouer un rôle.
Boire un verre d'eau ne sera plus jamais un geste anodin. Mais on n'est pas impuissants. Entre cybersécurité des infrastructures et vigilance citoyenne, la protection de notre robinet est devenue un enjeu majeur. La guerre de l'eau ne fait que commencer, et chacun de nous est en première ligne.
