Les pirates pourraient faire exploser des usines à l'aide d'applications pour smartphone

Eni | flickr





De nombreuses entreprises permettent aux employés de surveiller et de gérer des machines, et parfois des processus industriels entiers, via des applications mobiles. Les applications promettent des gains d'efficacité, mais elles créent également des cibles pour les cyberattaques. Au pire, les pirates pourraient exploiter les failles pour détruire des machines et potentiellement des usines entières.

Deux chercheurs en sécurité, Alexander Bolshev d'IOActive et Ivan Yushkevich d'Embedi, ont passé l'année dernière à examiner 34 applications d'entreprises telles que Siemens et Schneider Electric. Ils trouvé un total de 147 failles de sécurité dans les applications, qui ont été choisies au hasard dans le Google Play Store. Bolshev a refusé de dire quelles entreprises étaient les pires contrevenants ou de révéler les failles d'applications spécifiques, mais il a déclaré que seules deux des 34 n'en avaient aucune.

Certaines des vulnérabilités découvertes par les chercheurs permettraient aux pirates d'interférer avec les données circulant entre une application et la machine ou le processus auquel elle est liée. Ainsi, un ingénieur pourrait être trompé en pensant que, par exemple, une machine fonctionne à une température sûre alors qu'en fait elle surchauffe. Une autre faille permettrait aux attaquants d'insérer du code malveillant sur un appareil mobile afin qu'il envoie des commandes malveillantes aux serveurs contrôlant de nombreuses machines. Il n'est pas difficile d'imaginer que cela provoque un chaos sur une chaîne de montage ou des explosions dans une raffinerie de pétrole.



Bolshev dit que cette combinaison d'applications et de systèmes de contrôle industriels est un cocktail très dangereux et vulnérable, bien qu'il souligne que le risque variera considérablement. Certaines entreprises peuvent avoir plusieurs systèmes de sécurité qui limitent les dommages potentiels. Ils peuvent également insister pour que les ingénieurs s'appuient sur plusieurs sources de données pour une machine plutôt que sur une seule lecture d'une application.

Ce n'est pas totalement rassurant, cependant, car il existe des preuves que les pirates ont déjà pu échapper à des défenses plus larges autour des installations de fabrication (voir Un nouveau piratage industriel met en évidence les cyber-trous dans notre infrastructure). Et les risques s'étendent à d'autres domaines ; les centrales électriques et les systèmes de transport sont également connectés à Internet. Les applications mobiles pourraient également s'avérer des points faibles ici.

Les chercheurs disent qu'ils n'ont pas cherché à savoir si l'une des failles a réellement été exploitée. Avant de publier leurs conclusions, ils ont contacté les entreprises dont les applications présentaient des défauts. Certains ont déjà réparé les trous ; beaucoup n'ont pas encore répondu.



Beau Woods, chercheur en innovation en cybersécurité au Conseil de l'Atlantique, dit qu'il y a un dilemme pour les entreprises. La dernière chose que vous voulez en cas d'urgence, dit-il, est que les opérateurs soient verrouillés hors d'un système critique, ils sont donc conçus pour être accessibles de plusieurs manières, comme via des applications mobiles. Mais l'ajout de cette connectivité ajoute également une exposition aux méchants.

cacher