Les systèmes de gestion de l’immobilier sont trop peu sûrs
Le signal d’alarme vient d’Australie mais mériterait d’être pris au sérieux bien au-delà. Le Sydney Morning Herald se fait ainsi l’écho de travaux de chercheurs locaux ayant découvert 653 systèmes informatisés de gestion de bâtiments accessibles sur Internet.
Le signal d’alarme
vient d’Australie mais mériterait d’être pris au sérieux bien au-delà. Le
Sydney Morning Herald se fait ainsi l’écho de travaux de chercheurs locaux ayant découvert 653 systèmes informatisés de gestion de bâtiments accessibles sur Internet. Et pas des moindres : celui d’un hôpital, sécurisé par le nom d’utilisateur «admin» et le mot de passe «anyoneguess», tout comme celui du bâtiment
Wharf 7 de Google à Sydney...Des ingénieurs de l’américain Cylance sont ainsi parvenus à pénétrer dans son système de contrôle. Supervisés par Controlworks, ces deux systèmes donnent un accès en ligne à la supervision et au contrôle de la ventilation, de la climatisation, des circuits d’eau, des caméras de surveillance, des ascenseurs et même des systèmes de protection incendie. Les chercheurs de Cylance se sont appuyés sur
Shodan pour lancer leur recherche initiale de systèmes connectés. Plus tôt cette année, le Cert américain
avait alerté sur une vulnérabilité d’un autre système de gestion de bâtiments, NiagaraAX de Tridium. Ce dernier a depuis publié un correctif. Mais comme pour les systèmes
Scada de gestion des infrastructures industrielles, la question se pose quant à l’application de tels correctifs sur les déploiements en production, ainsi que sur la culture de sécurité IT des exploitants. Le sujet est aujourd’hui pris très au sérieux et des chercheurs de l’université de l’Etat de Caroline du Nord
viennent d’indiquer avoir développé un algorithme «qui détecte et isole les attaques informatiques sur les systèmes de contrôle en réseau», tels que ceux qui «sont utilisés pour coordonner les transports, l’énergie et aux d’autres infrastructures aux Etats-Unis ». Faisant référence à Flame et à Stuxnet, les chercheurs expliquent avoir voulu répondre à la problématique de la compromission d’agents individuels dans de tels systèmes distribués. L'algorithme doit en assurer la détection et l’isolation pour «protéger le reste du système et lui permettre de continuer de fonctionner normalement ».