[ARTICLE] Le prix du carburant n’est pas un problème pour les hackers !

Les leaders de l’industrie pétrolière proposent de nouvelles options attrayantes telles que la numérisation des stations-services, surfant ainsi sur la vague de l’Internet des objets. Total propose ainsi le paiement par téléphone mobile grâce à l’application eWallet[1]. De plus, les pompes à essence sont depuis longtemps et de plus en plus souvent connectées afin d’assurer leur maintenance et leur surveillance. En Chine, des stations-service intelligentes sont capables de détecter automatiquement l’arrivée d’un automobiliste et d’enclencher immédiatement tout le processus d’approvisionnement[2]. Néanmoins, cette numérisation n’est pas sans risque ; en témoigne les récents cas de piratage survenus dans le département de l’Oise (région des Hauts de France). Le 22 octobre dernier, la police a interpellé un homme qui avait réussi à détourner plus de 2000 litres d’essence, après avoir piraté la pompe à essence[3]. Ce coup d’éclat confirme ô combien les infrastructures industrielles connectées sont perméables aux cyberattaques. Le piratage de stations d’essence n’est pas une première. Dès le début des années 2010, des pirates utilisaient des skimmers afin de subtiliser les coordonnées bancaires des utilisateurs. Ce qui est nouveau, ce sont les techniques de piratage, qui évoluent à mesure que les stations se numérisent. Le présent article dresse un état des lieux des principales vulnérabilités informatiques des stations-service.

« Ain-siphonne-phonne-phonne les petites stations-service »

Les stations-service perdent des millions de dollars chaque année à cause de la fraude sur l’essence. Une envolée des prix à la pompe entraîne une recrudescence des vols. Si le piratage de stations-services a pour objectif le détournement d’argent et le vol d’essence à des fins de recèle, il existe différentes techniques qui mettent en évidence l’imagination des hackers. Cela va de l’interception des données bancaires à la pompe jusqu’aux logiciels malveillants installés sur les systèmes de point de vente.

Installation d’outils spécifiques

Bien qu’artisanal, les skimmers se révèlent d’une terrible efficacité. Un skimmer est une sorte d’enregistreur miniature de pistes magnétiques, est disposé à l’endroit où l’usager insère sa CB. Les pirates informatiques ont ainsi cloné des cartes de crédit afin de les réutiliser ou revendre des coordonnées bancaires Dans le même temps, des microcaméras sont disposées au-dessus du clavier numérique, offrant aux malfaiteurs une vue imprenable sur les codes confidentiels[4]. En 2015, le ministère de l’Agriculture de Floride avait demandé l’inspection de plus de 7 000 stations essence de l’Etat de Floride. La surprise fut de taille, quand les agents spéciaux du ministère découvrirent la présence de 103 skimmers de données bancaires[5]. En 2016, plusieurs clients d’une station-service de Breteuil ont vu leur carte bancaire piratée. Selon l’enquête menée par les Gendarmes, un skimmer avait été installé sur le terminal de paiement de l’une des pompes[6].

Mots de passe par défaut et logiciels malveillants

Les attaquants privilégient maintenant des moyens numériques comme la recherche de pompe vulnérables sur Shodan ou l’installation de malwares. Les pompes des stations-service sont connectées à Internet avec des mots de passe par défaut que les propriétaires ne pouvaient pas changer et des contrôles qui donnent à un attaquant un accès complet à la machine ce qui permet aux attaquants d’avoir un accès complet sur la machine. Les assaillants n’ont même pas besoin d’être près de la station-service. A titre d’exemple, Orpak Systems, qui a développé et installé dans plus de 35 000 stations-service un logiciel de gestion de carburant,  a mis ses guides en ligne, montrant les détails techniques, y compris les mots de passe et les captures d’écran de la façon d’accéder à son interface. Les guides et les stations-service étaient à l’origine en ligne pour des raisons de commodité. Plusieurs guides ont depuis été supprimés, mais certains experts de chez Kaspersky ont pu les retrouver grâce à une recherche sur Google…

Début 2018, en Russie, des agents du renseignement (FBS) ont identifié des malwares qui permettaient de piéger les clients de stations-service compromises. Les propriétaires de voitures pensaient payer pour l’essence qu’ils déversaient dans leur véhicule. Seulement, un pirate prélevait jusqu’à 7% de l’essence détourné[7]. Enfin, en juillet dernier, une station-service de la banlieue Sud de Detroit a également été piratée. En un peu plus d’une heure, près de 1.500 dollars d’essence ont pu y être dérobés. Dix voitures ont pu faire le plein et repartir sans régler l’addition. L’explication la plus plausible à cet incident résiderait dans le piratage du logiciel de suivi des stocks d’essence.

Étude de cas : La télécommande connectée, Saint Graal des hackers en herbe

Le 22 octobre 2018, une station-service située dans le département de l’Oise (région des Hauts de France) a été victime d’un piratage. En effet, les criminels ont acheté sur Internet une télécommande habituellement utilisée par les réparateurs pour prendre le contrôle des pompes, attaque rendue possible par la présence de mots de passe faibles ou connus. En effet, bien souvent, le code de sécurité d’origine de la station-service n’a jamais été modifié par le propriétaire ou l’exploitant. Ce sont souvent les mots de passe usine utilisés par défaut. Dans le cadre du piratage des stations-service dans l’Oise, les attaquants ont attendu que la nuit tombe afin de pouvoir commencer leur opération de siphonnage : une première voiture passe et déverrouille la pompe grâce à la télécommande acquise sur Internet.  Quelques minutes plus tard, un véhicule utilitaire prend le relai. Celui-ci contient une cuve pouvant accueillir plus de 2000 litres. Les criminels remplissent cette cuve avec l’essence qu’ils ont réussi à obtenir gratuitement grâce aux modifications apportées à la pompe par la télécommande pirate. Les litres de carburants volés seront revendus sur le marché noir[8]. En effet, le prix du carburant revendu est à un euro, bien moins cher que dans les pompes[9].

Les caméras de surveillance de la station-service ont permis aux enquêteurs de mettre au jour le stratagème ; le même d’ailleurs observé quelques mois plus tôt dans une autre station-service à Cauffry où 90 litres d’essence et 3 000 litres de gazole avaient été volés. Une enquête, menée par la brigade de recherches de Beauvais et le groupement de Gendarmerie de l’Oise, fait état d’au moins huit tentatives de vol de carburant dans le département entre juillet 2017 et octobre 2018, soit près de 16 000 litres d’essences volés.

Au-delà du vol d’essence, le piratage de stations-services pourraient provoquer de sérieux dégâts

En janvier 2018, Kaspersky Lab a publié une étude sur le piratage des stations-service révélant que  plus de 1 000 stations-service, des États-Unis à l’Inde, sont vulnérables[10]. Les stations-services possèdent ainsi des vulnérabilités informatiques qui, une fois exploitées, permettent aux hackers d’exécuter différentes types d’actions susceptibles de nuire aux propriétaires et aux clients.  Outre le piratage des pompes à fins d’enrichissement personnel, certains hackers pourraient envisager de  saboter les infrastructures pour des raisons politiques ou tout simplement par « jeu » afin de tester de nouvelles techniques de compromission et ainsi créer le buzz. Plusieurs scénarios d’attaques sont ainsi envisageables, si l’on prend en compte les techniques déjà utilisées par les attaquants et les nouveaux moyens de compromission qui pourraient émerger dans les prochaines années :

  • Compromettre une station-service via des solutions connectées ou manuelles (telle que la télécommande utilisée dans les stations-services de l’Oise) afin de modifier le prix du carburant et voler de l’essence[11]. Cette action entraîne la paralysie des stations-services pendant une journée ou deux, le temps que les réparateurs interviennent. D’importantes pertes financières sont ainsi générées. Les pirates, quant à eux, revendent le carburant sur le marché noir, se faisant ainsi d’énormes bénéfices. Par ailleurs, en siphonnant de l’essence, des malfaiteurs pourraient déverser des hydrocarbures lors du remplissage des cuves et conduire à la pollution des soldes et des sous-sols, voir entraîner un incendie.
  • Pirater une station-service grâce aux mots par défaut, qui ne sont malheureusement pas changés par les propriétaires. Cela constitue la principale vulnérabilité des stations. Dans certains cas, les pirates informatiques pourraient exploiter les données de la pompe en les modifiant au point de provoquer une explosion. Les pirates pourraient également accéder aux réseaux dorsaux pour prendre le contrôle des caméras de surveillance et autres systèmes connectés au réseau d’une station-service ou d’un dépanneur.
  • Un intrus qui accède à la station-service peut également se connecter directement au terminal de paiement et soit extraire les informations de paiement, soit exploiter directement les moyens de paiement pour voler des transactions.
  • Selon Kaspersky Lab, de nombreuses informations concernant le fonctionnement des stations-services sont disponibles en ligne. Les fabricants affichent une grande partie de l’information technique de l’appareil, comme des manuels d’utilisation très détaillés, différentes commandes et un guide étape par étape sur la façon d’accéder à chacune des interfaces et de les gérer  ce qui permet à de potentiels attaquants de se renseigner sur comment entrer dans le SI, voir accéder au contrôle de gestion. Un attaquant pourrait ainsi augmenter la limite de débordement d’un réservoir à une quantité supérieure à sa capacité, ce qui pourrait causer le débordement du réservoir et déclencher un incendie voir une explosion de la station-essence.
  • Enfin des hackers pourraient chiffrer les données volées sur le contrôle de gestion des stations de service et demander une rançon en échange voire, dans un cas particulièrement extrême,  arrêter les opérations de la station.

Conclusion

« Les stations-service sont connectées à Internet pour diverses raisons. C’est une réelle opportunité pour les attaquants de profiter des faiblesses de sécurité qui n’ont pas été envisagées en amont par les constructeurs, par exemple lors de la conception ou de l’installation d’une station-service ». Ces propos recueillis auprès de notre consultant sécurité Sylvain Hajri démontre que la connexion des stations-service à Internet se présente comme une opportunité non négligeable pour les pirates. Avec une simple télécommande, il est ainsi possible de pirater certaines pompes et de faire fructifier son vol en revendant les litres volés sur le marché noir. En France, il y a déjà eu 8 200 vols de carburant depuis le début de l’année. Le piratage de stations-service étant intrinsèquement lié à l’augmentation du prix du carburant, il est fort à parier que ce type de vol se multiplie dans les prochaines années.

Sources

[1] http://www.larevuedudigital.com/le-mobile-telecommande-de-la-station-service-connectee-chez-total/

[2] https://www.planetretail.net/NewsAndInsight/Article/163013

[3] http://www.courrier-picard.fr/144654/article/2018-10-24/des-pompes-essence-piratees-dans-loise

[4] http://www.leparisien.fr/informations/l-automate-d-une-station-service-piratee-a-breteuil-26-01-2016-5487557.php

[5] Ministère de l’agriculture de Floride

[6] http://www.leparisien.fr/informations/l-automate-d-une-station-service-piratee-a-breteuil-26-01-2016-5487557.php

[7] https://nakedsecurity.sophos.com/2018/01/23/gas-pump-virus-tricks-customers-into-paying-for-more-than-they-pump/

[8] http://www.leparisien.fr/faits-divers/comment-des-milliers-de-litres-d-essence-ont-ete-voles-grace-a-une-telecommande-05-11-2018-7935939.php

[9] https://www.bfmtv.com/police-justice/10-000-vols-de-carburants-enregistres-depuis-janvier-1560243.html

[10] https://ics-cert.kaspersky.com/reports/2018/02/07/gas-is-too-expensive-lets-make-it-cheap/

[11] https://ics-cert.kaspersky.com/reports/2018/02/07/gas-is-too-expensive-lets-make-it-cheap/