Des dizaines de systèmes professionnels belges peuvent être télécommandés
Divers systèmes professionnels, dont des chaudières de chauffage central, machines d’alimentation automatiques et installations de conditionnement d’air peuvent être connectés sans contrôle à internet. Il n’est donc même pas besoin de les pirater pour les manipuler.
Des Industrial Control Systems connectés à internet, tels des systèmes de gestion de bâtiments, des machines industrielles, mais aussi des systèmes de conditionnement d’air et de ventilation peuvent être détectés sans trop de difficultés via le net. Le hic, c’est qu’un grand nombre d’entre eux sont connectés sans la moindre authentification, ce qui ouvre littéralement la porte à des visites indésirables.
Ces observations ont été faites par Maxim Deweerdt de l’entreprise de cyber-sécurité NVISO. En l’espace d’une demi-heure, il a ainsi pu via Shodan, un moteur de recherche d’appareils IoT, découvrir des dizaines d’appareils vulnérables. “Tout ce que j’ai pu trouver n’était par définition pas insécurisé, mais le fait est qu’en une demi-heure, j’ai découvert sans problème des systèmes dépourvus d’authentification.”
Augmenter la température, descendre les volets
Deweerdt a pu ainsi avoir accès au système de gestion d’un bâtiment. Il a réussi à y couper l’eau et à modifier la température. Dans le cas d’un système de domotique, il a pu commander l’éclairage et les volets. Il a découvert aussi des systèmes de caisse (PoS) tournant sur une ancienne version de Windows Embedded, ce qui les rend vulnérables aux pirates en raison de leurs anciennes failles sécuritaires.
Ce n’est pas la première fois que des appareils connectés à internet se trouvent sur le web sans protection aucune. C’est ainsi que l’attaque DDoS perpétrée contre Dyn en octobre – en l’occurrence la principale attaque DDoS observée à ce jour – avait eu recours à des appareils domestiques piètrement sécurisés, connectés au net. Depuis quelques années déjà, il existe des sites qui diffusent des caméras IP.
Peu d’entreprises au courant
La sécurisation de ce genre de systèmes s’avère souvent malaisée. “Beaucoup d’entreprises ne sont tout simplement pas au courant que ces systèmes sont aisément repérables sur internet, parce qu’elles font confiance à l’expertise de leur installateur, qui n’évalue lui-même peut-être pas toujours correctement les risques”, déclare Deweerdt à Data News.
NVISO a bien tenté de prendre contact avec les entreprises concernées, même si cela n’est pas évident: “Nous avons pu identifier un certain nombre d’entreprises et avons pris contact avec elles via leur adresse IP. Les autres sont retranchées derrière un routeur de Telenet ou de Proximus, ce qui fait que l’on ne voit que leur nom d’utilisateur. Mais nous avons entre-temps transmis ce dernier aux fournisseurs concernés.”
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici