Si des millions de serveurs, routeurs, commutateurs et ordinateurs personnels sont largement ouverts aux pirates individuels, combien plus encore aux gouvernements voyous ou aux agences de renseignement? ⁃ Éditeur TN
Lucas Lundgren était assis à son bureau alors qu'il observait les portes des cellules de prison à des centaines de kilomètres de lui s'ouvrant et se fermant.
Il pouvait voir les différentes commandes flotter sur son écran en texte brut non chiffré. «Je pourrais même émettre des commandes comme« tous les blocs de cellules s'ouvrent »», a-t-il déclaré lors d'un appel téléphonique la semaine dernière. Sans être là, il ne pouvait pas savoir avec certitude si ses actions auraient eu des conséquences dans le monde réel.
«Je ne le saurais probablement qu'en lisant à ce sujet dans le journal le lendemain», a déclaré Lundgren, consultant senior en sécurité chez IOActive, avant son discours sur Black Hat à Las Vegas la semaine dernière.
C'est parce que ces portes de cellule sont contrôlées par un protocole de messagerie open source peu connu mais populaire connu sous le nom de MQTT, qui permet aux capteurs de faible puissance connectés à Internet (IoT) et aux appareils intelligents de communiquer avec un serveur central en utilisant peu de bande passante - permettant aux gardiens de prison de contrôler à distance les verrous d'une porte de cellule. Le protocole est utilisé partout - par les amateurs à la maison, mais aussi dans les systèmes industriels tels que les jauges et les capteurs d'équipement, les panneaux d'affichage électroniques et même les appareils médicaux.
Mais trop souvent, les serveurs qui écoutent les appareils et envoient des commandes ne sont pas protégés par un nom d'utilisateur ou un mot de passe, ce qui permet à toute personne disposant d'une connexion Internet de consulter l'un des 87,000 serveurs non protégés, selon les analyses de port de Lundgren.
«C'est une situation effrayante», dit-il. «Non seulement pouvons-nous lire les données - c'est déjà assez mauvais - mais nous pouvons également écrire dans les données.»
Lundgren a vu des moniteurs cardiaques et des pompes à insuline qui mettent constamment à jour les données sur le protocole afin qu'un médecin puisse le lire à distance sur une page Web et apporter des modifications, a-t-il déclaré. «Si je voulais être malveillant, je pourrais probablement changer l'insuline ou quelque chose du genre, et voir ce qui se passe», dit-il.
Tout au long de ses analyses, il a trouvé des serveurs du monde entier, exécutant tout, de la domotique et des systèmes d'alarme aux centrales nucléaires, en passant par un accélérateur de particules et même un oléoduc.
wpDiscuz