Le siegeware provient de cybercriminels combinant le concept des
rançongiciels avec les systèmes d’automatisation des bâtiments. Résultat : abus
de logiciels de contrôle des équipements pour menacer l’accès aux installations
physiques
Supposons que vous soyez responsable des opérations pour une société
immobilière gérant une douzaine d’immeubles dans plusieurs villes. Comment
réagiriez-vous si vous receviez le message texte suivant sur votre téléphone?
« Nous avons piraté tous les systèmes de contrôle de votre immeuble
du 400 Main Street et nous le bloquerons pendant trois jours si vous ne nous
payez pas 50 000 $ en Bitcoin dans les 24 prochaines heures. »
Dans le présent scénario, on imagine que l’immeuble visé est l’une des
nombreuses cliniques médicales haut de gamme du portefeuille de votre
entreprise. Les bâtiments utilisent tous un système appelé BAS (Building
Automation System), permettant de gérer à distance le chauffage, la
climatisation et la ventilation (HVAC), ainsi que les alarmes et contrôles
d’incendie, l’éclairage, les systèmes de sécurité, etc. Jusqu’à huit systèmes
différents peuvent être accessibles à distance.
Dans ce scénario, si quelqu’un a en fait pris le contrôle du BAS, il est
tout à fait possible que l’expéditeur du message de menace puisse mettre sa
menace à exécution. Ce n’est pas qu’un scénario imaginaire. J’ai rencontré
quelqu’un qui a reçu un tel message et ce n’était pas un canular. Lorsque sa
compagnie a courageusement refusé de payer les attaquants, l’utilisation du
bâtiment ciblé a effectivement été perturbée.
Le siegeware, un
problème réel
Je n’écrirais pas sur cette forme de cybercriminalité si je pensais
qu’on ne parlait que d’un seul incident isolé. Aucun chercheur en sécurité ne
veut répandre une peur injustifiée ou donner des idées aux criminels. Mais il
s’avère que les agents des forces de l’ordre qui ont été contactés pour obtenir
de l’aide par le directeur des opérations dans cette affaire lui ont dit :
« On a déjà vu ça avant. » En d’autres termes, ce n’était pas la
première fois que des criminels tentaient d’utiliser ce type d’attaque et, à
mon avis, il est préférable d’informer les victimes potentielles des menaces
afin qu’elles puissent planifier comment se défendre contre elles, plutôt que
d’espérer que ces menaces ne se concrétisent pas.
De toute évidence, prendre possession d’un immeuble et demander une
rançon avant de redonner l’accès à ce dernier, en tirant parti de sa dépendance
à l’égard d’un logiciel fait maintenant partie de l’arsenal croissant de
techniques permettant de tirer profit de l’abus de la technologie. D’après mon
expérience, le fait de donner un nom à différents types d’attaques permet de
les faire connaître et de concentrer les efforts pour se défendre contre elles.
Donc, au lieu de parler de « rançonner un immeuble en tirant parti de sa
dépendance à l’égard des logiciels », je suggère que nous l’appelions
siegeware (formé de la conjonction de « siege » et de
« ware »), qu’on pourrait traduire littéralement par logiciel de
siège.
Du néolithique jusqu’aux châteaux médiévaux et aux villes fortifiées,
les structures humaines ont toujours été la cible d’activités répréhensibles,
souvent assiégées par des agresseurs parce que leur accès est essentiel à leur
fonctionnalité, que ce soit pour vivre, travailler, rencontrer, commercer,
stocker des matériaux ou recevoir des soins médicaux. Aujourd’hui, les fonctionnalités
de nombreux bâtiments – comme la possibilité de contrôler la température
ambiante, les serrures de porte et les alarmes – sont contrôlées par un système
d’automatisation du bâtiment (BAS).
De nombreux avantages pratiques et financiers peuvent découler de
l’accès à distance à un BAS, mais lorsque vous combinez une intention
criminelle avec un accès à distance mal protégé à un logiciel qui exécute un
système d’automatisation de bâtiment, les siegeware sont une possibilité très
réelle. En d’autres termes, le siegeware est la capacité codée de faire une
demande crédible d’extorsion basée sur une fonctionnalité de bâtiment numérique
déficiente.
Lisez le texte complet sur : https://www.welivesecurity.com/fr/2019/02/20/siegewares-batiment-intelligent/