L'expert en sécurité Matthew Garrett s'est récemment retrouvé dans un hôtel avec des interrupteurs basés sur une tablette Android et quelques heures plus tard, il aurait pu contrôler l'électronique dans chaque chambre d'hôtel.
Matthew Garrett, le célèbre expert Linux et sécurité qui travaille chez CoreOS, se trouvait récemment dans un hôtel londonien où les interrupteurs avaient été remplacés par des tablettes Android. Garrett, un hacker hacker, a décidé de voir ce qu'ils faisaient. Quelques heures plus tard Garrett avait accès à l'électronique dans chaque pièce.
Sécurité? Dans l’Internet des objets? Vous plaisantez sûrement !
Oh mec.
Alors que Garrett est un expert en sécurité, cet exploit ne nécessitait aucune compétence de cracker d'élite. Garrett a expliqué qu'il avait débranché une tablette et mis son ordinateur portable dans la liaison. Il a alors mis en place un pont transparent. C'est trivial pour tout administrateur réseau Linux. Il a ensuite utilisé le populaire analyseur de protocole réseau Requin filaire pour analyser le trafic.
Il a rapidement constaté que les appareils utilisaient le Modbus protocole. Il s'agit d'un ancien protocole série utilisé pour contrôler les contrôleurs logiques de programme (PLC), c'est-à-dire de simples appareils électroniques. "Modbus est un protocole assez trivial, et notamment ne comporte aucune authentification", a observé Garrett. J'ajouterai qu'il n'a aucune sécurité.
Tcpdump a révélé que le trafic était dirigé vers l'adresse IPV4 172.16.207.14. Un peu plus tard, avec pymodbus, une implémentation Python open source, Garrett était heureux de « contrôler mes lumières, d'allumer et d'éteindre le téléviseur et même d'ouvrir et de fermer mes rideaux. Ce que c'est drôle!"
Puis il a remarqué que son numéro de chambre était le 714 et que son adresse IP se terminait par 7.14. Est-ce que ça pourrait être? Est-ce possible ?
Oui! Oui c'était
"C'est aussi grave que cela pourrait l'être: une fois que j'ai découvert la passerelle, j'ai pu accéder aux systèmes de contrôle à chaque étage. et interroger les autres pièces pour savoir si les lumières étaient allumées ou non, ce qui implique fortement que je pourrais les contrôler aussi facilement que possible. Bien."
Il a résisté à la tentation d’allumer les lumières de la pièce et d’ouvrir les rideaux à 3 heures du matin. Et il n’a pas vérifié s’il pouvait « ouvrir la porte de la chambre 614 ». C'est sûrement sur un système différent, plus sécurisé... J'espère.
Dans un épisode connexe, mais bien plus stupide, un récent épisode de NPR sur Amazon Écho causé plusieurs Appareils Echo pour commencer à répondre à son mot d'attention par défaut "Alexa" pendant la diffusion.
Pensez-vous que Les échos doivent utiliser des mots de réveil programmables? Moi et mon collègue écrivain de ZDNet, David Gewirtz, le faisons.
Quel est le point commun entre ces épisodes? Dans les deux cas, deux premiers modèles d’appareils Internet des objets (IoT) ont montré qu’ils n’avaient aucune sécurité à proprement parler.
Voir également
Internet des objets: plus idiot et plus effrayant et à venir
Combien de mises à jour logicielles faut-il pour changer une ampoule? Que se passe-t-il lorsqu'un haut fourneau est piraté? Sérieusement: la sécurité apparaît comme un éléphant dans toutes nos salles IoT.
Lisez maintenantOui, Garrett est un professionnel de la sécurité, mais il n’avait besoin d’aucune de ces compétences. N'importe qui ayant une certaine connaissance du réseau aurait pu faire de même. Quant aux incidents d'Echo, les gadgets se sont "piratés".
Ce n’est que le dernier d’une longue série d’exploits de sécurité IoT triviaux. Il y avait le flux de babyphone Internet en direct et le Voiture Nissan Leaf piratable à distance.
L'Internet des objets me semble cool depuis que j'ai vu Star Trek où les ordinateurs étaient partout et où l'on pouvait travailler avec eux en parlant simplement dans les airs. La réalité n’est pas aussi amusante.
Le directeur américain du renseignement national, James Clapper, nous a récemment prévenu que « les appareils, conçus et mis en service avec exigences minimales de sécurité et les tests, et une complexité toujours croissante des réseaux pourraient conduire à des vulnérabilités généralisées dans les infrastructures civiles et les systèmes du gouvernement américain.
Minimal? Minimal!? Nous vivons déjà avec des appareils IoT sans sécurité intégrée. À moins que nous n’exigeions que nos appareils IoT soient réellement sécurisés maintenant – et non demain, aujourd’hui – nous allons assister à une vague de criminalité comme nous n’en avons jamais vue auparavant.
Histoires connexes :
- jeInternet des objets: sortir du cauchemar de la sécurité
- Comment des pirates ont attaqué le réseau électrique ukrainien: implications pour la sécurité de l'IoT industriel
- Il est temps d’y prêter attention: l’Internet des objets est sur le point de se généraliser