[SMART BUILDING] Des failles de sécurité dans des bâtiments scolaires et hospitaliers

     Des fournisseurs de matériaux de bâtiments intelligents (bâtiments connectés, smart building), ont récemment publié des mises à jour de produits sans avertir que des vulnérabilités avaient au préalable été corrigées, entrainant l’accès sur le Web aux systèmes de sécurité des écoles et des hôpitaux en question. Les systèmes d’automatisation des bâtiments sont intrinsèquement sujets à d’importantes vulnérabilités de sécurité car ils sont fondamentalement conçus comme des ordinateurs contenant des informations parallèles. Même si les professionnels de la sécurité sont en charge d’assurer l’intégrité de la sécurité des données (Cloud ou dans les locaux), la sécurité des systèmes d’automatisation des bâtiments est souvent ignorée et non testée car les bâtiments loués peuvent être équipés de systèmes d’automatisation non négociables installés par la société de gestion. En réponse, les ingénieurs de ForeScout ont mis au point un logiciel malveillant de validation de principe pour les bâtiments intelligents afin de manifester l’urgence aux responsables de la sécurité en matière de vulnérabilités des systèmes d’automatisation des bâtiments.

Les chercheurs de ForeScout ont découvert d’importantes vulnérabilités permettant aux attaquants distants d’exécuter du code arbitraire sur un périphérique cible, grâce à l’utilisation par le fournisseur d’une clé codée en dur ou à la capacité d’exploiter un débordement de tampon. Le nom du fournisseur en question n’a jamais été communiqué et celui-ci n’a jamais révélé à ses clients qu’une vulnérabilité existait. L’absence de divulgation peut entrainer des erreurs de clients comme l’absence de mises à jour.

Plusieurs vulnérabilités ont été trouvées avec des degrés différents de gravité sur les systèmes Loytek et EasyIO. Les chercheurs ont cependant indiqué que ces vulnérabilités sont faciles à trouver et à corriger, mais sont également faciles à exploiter. Les systèmes d’automatisation des bâtiments sont facilement localisables sur internet à l’aide de moteurs de recherche tels que Shodan et Censys. Grâce à ces données, « les chercheurs ont découvert 279 cas de dispositifs affectés par les vulnérabilités de faible gravité, dont 214 étaient potentiellement vulnérables ». De plus, pour les vulnérabilités de plus grande gravité, « 21 621 dispositifs ont été trouvés, dont 7 890, selon les auteurs de l’enquête, sont potentiellement vulnérables – beaucoup se trouvent dans des hôpitaux et des écoles ». Ces analyses révèlent donc que ces systèmes pourraient être accessibles à des pirates sur le Web.