Thermostat à peine connecté, déjà rançonné

Un cyber-criminel peut-il dérégler la température d’un site puis rançonner ses locataires à distance ? La démonstration en a été faite lors de la conférence DefCon, le 6 août dernier, par deux informaticiens Anglais de Pen Test Partners.

Andrew Tierney et Ken Munro ont mis au point un redoutable prototype de cyber-attaque. Ils sont parvenus à contrôler à distance un thermostat « intelligent » en profitant d’une vulnérabilité de son système embarqué.

Désastre économique pour le datacenter

A titre de démonstration, les deux ingénieurs ont réglé le thermostat américain sur 37°C avant d’afficher leur revendication sur son écran LCD.

IoT_ransomware
Credit: Ken Munro

Le message précisait le montant de la rançon à régler, fixé à 1 Bitcoin, pour recevoir un code PIN de déverrouillage.

Deux soirées de programmation auraient suffit pour mettre au point le code malveillant, selon InfoSecurity.

Un hacker peut donc souffler alternativement le chaud et le froid dans n’importe quel site équipé d’un tel thermomstat connecté, puis réclamer une rançon à distance.

Si les conséquences sont limitées dans un appartement, elles tournent au désastre économique dans un datacenter. En effet, l’ensemble des services hébergés seraient rapidement inaccessibles, l’exploitation devant éviter toute surchauffe.

Tentatives de falsification et d’intrusions

Ce nouvel exemple de ransomware – rançongiciel en bon Français – se distingue par le fait qu’il ne chiffre aucune donnée.  Il confirme l’importance de faire l’inventaire et de superviser tous ses équipements connectés.

La mesure régulière des performances du refroidissement et celle des niveaux de sécurité pourront être déterminantes à l’avenir. Dorénavant, le responsable de la sécurité doit garantir une cohérence des moyens, des pratiques et des procédures de sécurité jusqu’aux objets connectés.

Dans le grand public, l’IoT retient une authentification de base, très simple. Souvent, les mots de passe sont utilisés pour accéder à plusieurs dispositifs ou services à la fois et ils sont partagés entre plusieurs membres de la famille. C’est un travers fréquent aussi dans l’entreprise pour l’accès aux réseaux sociaux par exemple ou, pire, pour partager des fichiers.

fingerprint_mobile_phoneDepuis plusieurs années, on annonce la disparition du mot de passe et son remplacement par une mesure de biométrie comme l’empreinte digitale ou vocale, oculaire ou cardiaque. Mais le secret est très mal gardé puisqu’on laisse nos empreintes digitales partout. De plus, les capteurs d’empreintes des smartphones récents peuvent-être détournés et une simple photo en haute définition de votre pouce permet d’usurper votre identité.

L’IoT professionnelle exige donc une sécurité renforcée, notamment un firmware chiffré et une authentification multi-facteurs. Si un tel changement est en cours dans votre organisation et que vous pouvez fournir quelques précisions, n’hésitez pas à commenter cet article (en bas de cette page) ou à proposer un témoignage.

 

Post Author: la Rédaction

la Rédaction
Journaliste spécialisé, animateur de conférences et de la communauté open source OW2, Olivier Bouzereau s'intéresse au développement de services Web, aux infrastructures, au stockage et à la sécurité informatiques.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.