Un casino se fait pirater grâce au… thermomètre connecté d’un aquarium !

Il ne s’agit aujourd’hui que d’un simple fait divers, mais qui pourrait se transformer à l’avenir en véritable catastrophe en termes de sécurité, si aucune mesure n’est prise à grande échelle. Les objets connectés sont des mines de failles souvent faciles à exploiter par les pirates. Preuve en est, un casino s’est fait pirater sa base de données clients via un simple thermomètre connecté présent dans un aquarium…

Un casino se fait pirater via un thermometre d'aquarium

Des pirates sont en effet parvenus à accéder frauduleusement aux données d’un casino, qui a naturellement souhaité rester anonyme et on comprend pourquoi, puisque grâce à un simple thermomètre d’aquarium connecté, la base de données de ses gros parieurs s’est faites aspirer.

Le casino se fait pirater via le thermomètre de son aquarium

C’est durant une conférence à Londres, rapportée par le Business Insider, que Nicole Eagan, la directrice de l’entreprise de cybersécurité Darktrace a expliqué la méthodologie des pirates. D’après elle, les hackers ont cherché une faille sur le modèle de thermomètre connecté présent dans l’aquarium du hall du casino. Cela leur a permis d’obtenir un point d’entrée sur le réseau informatique du casino, ils ont ensuite accédé à certaines données de l’établissement de jeux puis ont retiré ces dernières à travers le réseau, puis le thermostat et ensuite jusque dans le cloud.

Un précédent inquiétant car d’aprés Nicole Eagan : « Il y a énormément d’objets connectés, parmi lesquels les thermostats, les réfrigérateurs, les climatiseurs, mais aussi les assistants vocaux que les gens amènent au travail. Tout cela étend les possibilités d’attaques informatiques, alors que la plupart de ces produits ne sont pas protégés par les systèmes traditionnels ».

L’internet des objets est une passoire en termes de sécurité

C’est en effet le cœur du problème de l’Internet des objets, un très grand nombre d’objets connectés sont peu, voire pas du tout protégés, car les sociétés mettant au point ces gadgets high-tech sont bien souvent des start-up aux ressources financières limitées. Un grand nombre font également appel au financement participatif pour sortir le produit, les ressources financières sont donc essentiellement attribuées pour financer la production d’un stock et pour des campagnes marketing, la sécurité étant souvent la dernière roue du carrosse. L’idéal serait la mise au point d’une sorte de cahier des charges obligatoire avant la mise sur le marché ou l’obligation d’obtenir certaines certifications, mais nous en sommes loin d’être là…

Un avis partagé par le patron de l’Agence nationale de la sécurité des systèmes d’information, Guillaume Poupard qui déclare : « Pour des objets plus grand public, plus low-cost, ça ne fonctionne pas, car l’évaluation coûte cher, est lourde et prend du temps. Nous ne pouvons donc pas demander à la prochaine star du CES d’être évaluée selon ces méthodologies-là. […] Deux solutions se présentent : des évaluations plus légères ou l’auto-évaluation ». Cela permettrait ainsi d’obtenir les premières informations sur le niveau de confiance du produit.

Si certains jugeront que l’on vire dans le catastrophisme, en relayant ce genre de cas d’un casino se faisant pirater via un simple thermomètre, que dire de cet autre cas présenté durant la conférence USI 2017 par Keren Elazari dans la vidéo qui suit. Elle expliquait qu’un hacker était capable de pirater une pompe à insuline à distance et de changer la dose du patient, jusqu´à lui délivrer une dose fatale…

Il devient grand temps que la sécurité passe désormais avant les profits des entreprises

Sachant que d’après les estimations de Gartner, il y a avait 8,380 milliards d’objets connectés en 2017 et que ce chiffre est amené à exploser, il devient grand temps que la sécurité passe désormais avant les profits des entreprises. Les risques sont bien réels et importants, on se souvient par exemple du programme Mirai qui avait transformé des caméras de surveillance en objets zombies pour mener une vaste attaque DDoS contre la société Dyn en 2016, paralysant de nombreuses heures le web mondial.


4 commentaires

  1. Mais pourquoi diable ont-ils connecté leur thermomètre à Internet ?

    Si cette mésaventure pouvait au moins leur faire réfléchir, et leur mettre un peu de jugeote dans la tête, ce serait une fin positive, pas heureuse, mais positive.

    J’espère que cela servira de leçon à tous ceux qui s’emballent pour des miroirs connectés dans leur salle de bains, et autres objets tout aussi gourmands en vie privée.

    • Emmanuel Ghesquier
      Emmanuel Ghesquier le

      Bonjour, à aucun moment il n’est évoqué le moment où s’est déroulé ce fait divers dans l’article, puisqu’il s’agit de l’argumentation de Nicole Eagan, la CEO de Darktrace qui a pris la parole durant la WSJ CEO Council Conference de Londres, il y a quelques jours ( https://ceocouncil.wsj.com/annual-meetings/london-2018/ )

      Des propos repris par le Business Insider il y a trois jours http://www.businessinsider.com.....ank-2018-4

      Puis par l’ensemble de la presse francophone avant hier et hier…

      Je ne vois pas pourquoi si un fait aurait eu lieu il y a quelques mois, on ne pourrait plus l’aborder, d’autant que j’aborde aussi le botnet Mirai par exemple en fin d’article, qui remonte à 2016… De plus ce piratage, est la parfaite démonstration, que l’objet connecté le plus anodin est une brèche potentielle dans la sécurité des réseaux et le marché nous en pond des dizaines chaque semaine, mis sur le marché à la hâte pour tenter d’être les premiers à commercialiser le dit objet, sans prendre le temps de travailler la sécurité de base…

  2. on se passe tres facilement d objet connecté, aucun besoin d avoir le chauffage qui se met en marche a distance ou autres gagdets pour humain de plus en plus fragile et incapable, j aime internet, je vis avec mon temps, mais quand je rentre chez moi, je fends mon bois et je remplis mon poële ,

Commenter