Des systèmes d'irrigation intelligents drainés par des attaques? Possible.

Les systèmes d’irrigation intelligents vulnérables aux attaques, avertissent des chercheurs

Les systèmes d'irrigation connectés à Internet souffrent de lacunes de sécurité qui pourraient être exploitées par des attaquants visant, par exemple, à épuiser les réserves d'eau d'une ville, précisent les chercheurs.

Les systèmes d’irrigation connectés à Internet souffrent de lacunes de sécurité qui pourraient être exploitées par des attaquants visant, par exemple, à épuiser les réserves d’eau d’une ville, précisent les chercheurs.

Des chercheurs en sécurité ont mis en garde contre une attaque potentielle qui – en utilisant un « botnet de tuyauterie » ciblant simultanément des systèmes d’irrigation connectés à Internet qui arrosent. Une telle attaque pourrait avoir un impact sur le système d’eau d’une ville au point de drainer ses réserves.

Une équipe de six universitaires de l’Université Ben Gourion, de Negev en Israël, a identifié et analysé les failles de sécurité dans le microprogramme de plusieurs systèmes d’irrigation commerciaux connectés à Internet. Les experts se sont concentrés sur trois systèmes d’irrigation intelligents couramment vendus – GreenIQ, BlueSpray et RainMachine – et ont constaté qu’ils souffrent de vulnérabilités qui permettent aux attaquants d’activer et de désactiver les systèmes d’arrosage à distance à volonté.

On a constaté que certains dispositifs étaient sujets aux attaques de type Man-in-The-Middle (MiTM), tandis que d’autres peuvent être amenés à déclencher le processus d’arrosage en manipulant ses capteurs ou en usurpant les données météorologiques.

Essentiellement, l’attaque tirerait parti de dispositifs de l’Internet des objets (IoT) mal sécurisés qui sont connectés à l’infrastructure critique d’une ville. Par rapport à l’infection directe des cybersystèmes physiques des services urbains de l’eau, il est beaucoup plus facile d’entreprendre l’attaque par le biais d’une « armée » de contrôleurs d’irrigation connectés à Internet, ont noté les chercheurs.

« Bien que les attaques antérieures contre les infrastructures essentielles obligeaient l’attaquant à compromettre les systèmes d’infrastructures essentielles, nous présentons une attaque contre les infrastructures essentielles qui ne nécessite pas de compromettre l’infrastructure elle-même et qui se fait indirectement en attaquant l’infrastructure du client qui n’est pas sous le contrôle du fournisseur d’infrastructures essentielles », peut-on lire dans le journal.

« Les municipalités et les entités gouvernementales locales ont adopté de nouvelles technologies vertes utilisant les systèmes d’irrigation intelligents de l’IdO pour remplacer les systèmes d’arrosage traditionnels, et ils n’ont pas les mêmes normes de sécurité des infrastructures critiques », écrivent les chercheurs. Les conclusions de leur recherche ont été publié dans le rapport intitulé Piping Botnet – Turning Green Technology into a Water Disaster (c’est-à-dire Piping Botnet – Transformer une technologie verte en une catastrophe hydrique). Leur recherche a également été présentée à la Def Con 26 Conference à Las Vegas au début du mois et résumée dans cette vidéo.

« En appliquant à une attaque distribuée qui exploite de telles vulnérabilités, un botnet de 1 355 systèmes d’irrigation intelligents peut vider un château d’eau urbain en une heure et un botnet de 23 866 systèmes d’irrigation intelligents peut vider un réservoir d’eau en une nuit », explique l’un des chercheurs, Ben Nassi, sur le site Web de l’université. L’attaque prendrait d’abord le contrôle d’un botnet d’ordinateurs dans le but de détecter les systèmes d’irrigation intelligents sur les réseaux locaux.

« Les chercheurs ont montré comment un bot utilisant un dispositif compromis peut (1) détecter un système d’irrigation intelligent connecté à son réseau local en moins de 15 minutes, et (2) activer l’arrosage via chaque système d’irrigation intelligent en utilisant un ensemble d’attaques de détournement de session et de rejouer les attaques », selon le communiqué de presse.

Les chercheurs précisent avoir divulgué les vulnérabilités aux fournisseurs afin qu’ils puissent mettre à jour le micrologiciel.

Discussion