Shawn Harquail
BlackHat2017, Las Vegas : parmi les dizaines de hack IoT dévoilés au cours des conférences de la BH2017, l’un des plus simples (et des moins dangereux) est sans conteste celui présenté par Billy Rios, lequel s’est penché sur la sécurité des portiques de lavage automatique pour automobile. On imagine le désarroi des victimes condamnées à subir un second cycle de séchage ou une violente augmentation du volume de cire de carrosserie… le hack IoT est parfois à la limite de l’insoutenable.
Comme il est de coutume dans l’IoT, chaque portique peut être piloté par le patron de la laverie automatique via une interface Web. Et celle intégrée par la marque LaserWash est particulièrement vulnérable, puisque rares sont les gérants de stations-service qui pensent à modifier leur mot de passe, encore plus rares sont ceux qui envisagent de placer leur ordinateur de gestion des cycles lavage-rinçage-séchage derrière un firewall. Si, de surcroît, l’on découvre que ladite interface possède comme sésame par défaut le mot de passe 12345, il en faut peu pour pirater une laverie toute entière. Pour faire bonne mesure, chaque portique de lavage est capable, si nécessaire, d’envoyer un email après chaque lavage (smtp faillible), et l’interface de pilotage rappelle qu’il faut se soucier des mises à jour du firmware… Les annonces desdites mises à jour étant disponibles en quasi temps réel sur Facebook, Youtube et LinkedIn… Autant de réseaux sociaux accessibles directement depuis l’interface d’administration. En fallait-il plus à Rios pour dénicher un exploit fonctionnel ?
L’histoire ne s’arrête pas là. Nul gourou de l’Owasp ne peut venir en aide à LaserWash. Car le système d’automatisation tout entier repose sur Windows… CE, ce système embarqué héritier du projet Microsoft Pegasus de 1996 qui, depuis ses premières heures, a accumulé bug sur bug, failles de sécurité sur mauvaises pratiques de développement. A tel point que Microsoft en a abandonné et le chantier, et la maintenance, laissant des centaines de laverie orphelines du moindre « patch Tuesday ».
Rios et son équipe découvre cette cascade de défauts début 2015 et, malgré plusieurs avertissements, ne reçoit aucune réponse de la part de l’intégrateur. Ce n’est qu’à l’annonce de la présentation publique de la BlackHat 2017 que le spécialiste du lessivage automobile donne signe de vie et avoue son incapacité à corriger le bug. Et pour cause.
