[SMART CITY] Des criminels pourraient causer des dommages collatéraux importants en piratant les systèmes d’irrigation connectés

Des chercheurs de l’Université d’Israël ont réalisé une étude dans laquelle ils mettent en évidence la possibilité pour des attaquants de compromettre l’approvisionnement en eau d’une ville. Ce piratage ne viserait pas des infrastructures critiques telles que des stations de traitement d’eau ou des châteaux d’eau mais plutôt des appareils isolés dont le piratage peut néanmoins s’avérer redoutables : l’arrosage automatique connecté. Les chercheurs ont mené leur étude sur plusieurs modèles d’arroseurs connectés tels que le GreenIQ, le Rainmachine et le BlueSpray, qui sont tous connectés à Internet. Ils ont remarqué que les appareils GreenIQ et BlueSpray se connectent à leurs serveurs en utilisant des connexions HTTP non chiffrées. Ainsi, un attaquant qui a compromis un ordinateur situé sur le même réseau que le dispositif GreenIQ peut intercepter les commandes via une attaque Man In The Middle. Dans le cas du modèle RainMachine, les chercheurs ont découvert qu’ils pouvaient falsifier les prévisions météorologiques que le serveur envoie. Par exemple, les attaquants peuvent envoyer des données erronées indiquant  que le temps est caniculaire ce qui inciterait l’arrosage automatique à fonctionner régulièrement. Ces vulnérabilités permettraient aux attaquants d’activer à distance les arroseurs automatiques pour drainer de l’eau ou entraîner des débordements par exemple. Néanmoins les criminels devraient prendre le contrôle d’un grand nombre d’arroseurs automatiques afin de créer des débordements. Selon les calculs des chercheurs, pour vider un château d’eau moyen, les attaquants auraient besoin d’un botnet de 1 355 arroseurs.