Les hackers pourraient faire exploser des usines en utilisant des applications mobiles

Des chercheurs ont découvert des failles de sécurité inquiétantes dans les applications utilisées par les entreprises pour contrôler les processus industriels.

C’est le très sérieux MIT Technology Review, le magazine du Massachusetts Institute of Technology qui l’affirme. De nombreuses entreprises utilisent des dispositifs qui permettent de surveiller et de gérer des machines – et parfois des processus industriels entiers – par le biais d’applications mobiles. Les applications permettent des gains d’efficacité, mais elles peuvent aussi constituer des cibles pour les cyberattaques. Dans le pire des scénarios, les pirates informatiques pourraient exploiter les failles pour détruire des machines, voire des usines entières.

Selon la revue,deux chercheurs en sécurité, Alexander Bolshev de IOActive et Ivan Yushkevich d’Embedi, deux entreprises spécialisées dans la sécurité informatique, ont passé l’année dernière à examiner trente-quatre applications d’entreprises telles que Siemens et Schneider Electric. Ils ont trouvé pas moins de cent cinquante sept failles de sécurité dans les applications, qui avaient été choisies au hasard sur Play Store Google. Alexander Bolshev ne précise pas quelles entreprises étaient les plus vulnérables et ne révèle pas non plus la nature des problèmes trouvés dans des applications concernées, mais il indique que sur le nombre, seulement deux applications ne présentaient pas de failles.

Précisons qu’une précédente étude avait été menée et dévoilée lors de la conférence Black Hat en 2015, révélant à cette occasion cinquante « problèmes » dans vingt applications analysées.

« Un cocktail très dangereux et vulnérable »

Alexander Bolshev ajoute que cette combinaison d’applications et de systèmes de contrôle industriel représente « un cocktail très dangereux et vulnérable ». Cela étant, il tempère plus loin son propos en rappelant que certaines entreprises ont mis en place plusieurs systèmes de sécurité qui limitent les dommages potentiels, et que côté humain, les ingénieurs se fient à plusieurs sources de données pour une machine plutôt qu’ à une seule lecture d’une application.

Cependant, le résultat de l’étude n’est pas très rassurant. Certaines des vulnérabilités découvertes par les chercheurs permettraient aux pirates informatiques d’interférer avec le flux de données entre une application et la machine ou le processus auquel elle est liée. On pourrait donc faire croire à un ingénieur que, par exemple, une machine fonctionne à une température sécuritaire alors qu’elle surchauffe. Un autre défaut permettrait aux attaquants d’insérer du code malveillant sur un périphérique mobile afin qu’il délivre des commandes malveillantes aux serveurs qui contrôlent de nombreuses machines. Ce qui, selon les chercheurs, pourrait causer le chaos sur une chaîne de montage, voire même des explosions dans une raffinerie de pétrole.

Les chercheurs n’ont pas poussé l’investigation jusqu’à savoir si l’une des failles trouvées a été exploitée. Avant de publier leurs résultats, ils avaient contacté les entreprises dont les applications présentaient des failles. Certaines sont déjà intervenues pour réparer les vulnérabilités, d’autres n’ont pas encore répondu.


Commenter