août 17th, 2017

BlackHat2017, Las Vegas : Les écrits de Ruben Santamarta font à chaque fois l’effet d’une petit bombe. De par l’éclairage alarmiste des services de communication d’IOActive, mais aussi en raison de la densité des informations directement exploitables qui s’y trouvent. Le dernier en date, intitulé Go Nuclear: Breaking Radiation Monitoring Devices, passe en revue les multiples outils périphériques aux centrales nucléaires civiles. Et notamment les capteurs dosimètres et portiques de détection de radioactivité.

Rien de très nouveau sous le soleil InfoSec, les bourdes et autres étourderies que l’on rencontre dans le domaine de l’automatisme se suivent et se ressemblent : ports IP ouverts, mots de passe de « superuser » codés en dur (portiques de détection de radioactivité Ludlum), cartes électroniques estampillées « made in USA » arborant fièrement un module Xbee fabriqué à la chaine en Chine (et vendu moins de 60 euros sur eBay), les erreurs d’intégration ne manquent pas. Aucune de ces failles n’est véritablement critique, puisque que totalement indépendantes du réacteur lui-même, et leurs alertes généralement inféodées à des procédures de mesures de vérification multiples et contradictoires. Tout au plus la chose serait exploitable dans un épisode de la saison 3 de Mr Robot.

L’article de Santamarta est plus qu’intéressant, non pas en raison de son côté « nucléaire » difficile à exploiter dans la vie courante d’un pirate Brésilo-Tchéchéno-Nigérian, mais de par les variations que l’on peut imaginer. Le hack du module Zigbee, par exemple, est à la fois simple et déclinable en une foultitude d’exploitation par fuzzing, à commencer par certains boîtiers antivols, pas mal de portails automatiques, une quantité impressionnante de modules utilisés dans la grande distribution ou chez les professionnels du stockage. Si l’on excepte l’ouverture sauvage à la scie Dremel du blindage du module (note personnelle : penser à offrir une station de reprise à air chaud pour l’anniversaire d’IO Active), tout ce qui est décrit dans cet article pourrait servir de test de sécurité de premier niveau pour tout industriel souhaitant IoTer proprement.

BlackHat2017, Las Vegas. Ah ! ce petit frisson que donne l’IoT lorsqu’il est passé à la loupe des spécialistes de la sécurité. Dans son « Global Threat Report 2017 », Darktrace est parvenu à atteindre un joli score en matière de couverture média. Dame, à Las Vegas, laisser miroiter la possibilité de pénétrer dans le réseau informatique d’un casino, en exploitant une vulnérabilité affectant les aquariums high-techs et communicants ! Malgré la protection d’un VPN, l’aquarium fautif et néanmoins connecté aurait permis à un pirate de balayer une partie du réseau local et y découvrir quelques vulnérabilités. Vulnérabilités exploitées par la suite pour exfiltrer une dizaine de Go de données des serveurs de l’entreprise vers un poste situé en Finlande.

L’affaire était si belle que l’information a été reprise par les plus grands médias anglo-saxons : CNN, le Washington Post, le Dailymail, SCmagazine, BoingBoing et même le canal de propagande Russe RT y est allé de son écho.

Mais il y a plus fort que les spywares en eau trouble : l’aspirateur de l’ombre. iRobot, vendeur d’électroménager envisage, rapporte le New York Times, de vendre les données cartographiques des aspirateurs autonomes de sa clientèle. Une mine d’information pour les professionnels de la décoration d’intérieur, un cheval de Troie pour les amateurs d’IoT. La faille, dans ce cas précis, est moins informatique que contractuelle et légale.

Selon le « Second Annual State of Ransomware Report » de Malwarebyte,, (sondage d’un millier d’entreprises Européennes et US), 22% des PME frappées par un ransomware ont dû cesser leur activité, et 15 autres pourcent ont accusé des pertes de revenus.

Mais l’information la plus désagréable pour nos chez voisins amateurs de sauce à la menthe, de viande bouillie et d’ambitions sécessionnistes, c’est le taux incroyablement élevé (43,1%) de responsables d’entreprise prompts à payer le montant de la rançon, chiffre à comparer aux moins de 16% des patrons de notre riante France vacharde de veaux (gageons que sur ces 15% se compte un nombre élevé de patrons fuyant les conséquences du Brexit). Merci à notre éminent confrère John Leyden, Ibère d’adoption mais insulaire de naissance, pour ce passage de pure chauvinisme humoristique Britton publié dans les colonnes d’El Reg.