Une
récente présentation de Tony Anscombe, évangéliste de la sécurité d’ESETau
niveau mondial, portant sur les principaux défis de sécurité auxquels sont
confrontés les bâtiments intelligents.
Par Juan Manuel Haran
Dans le cadre de la conférence Segurinfo Argentina
2019, tenue à Buenos Aires, l’évangéliste de la sécurité d’ESET Tony Anscombe a
donné une conférence sur les bâtiments connectés (ou intelligents), dans
laquelle il a expliqué les risques de sécurité associés aux bâtiments
intelligents. Allons droit au but de sa présentation.
Dans des pays comme les États-Unis, on estime que
la croissance des bâtiments intelligents atteindra 16,6 % d’ici 2020 par
rapport à 2014. Cette expansion ne se limite pas aux États-Unis, mais s’opère à
l’échelle mondiale. Cette croissance est due en grande partie au fait que nous
vivons dans un monde de plus en plus imprégné de technologie, dans lequel
l’automatisation des processus et la recherche de l’efficacité énergétique
contribuent non seulement à la durabilité, mais aussi à la réduction des coûts
– un objectif poursuivi dans toutes les industries, tant publiques que privées.
Naturellement, l’industrie de la construction ne
fait pas exception à la règle.
Les bâtiments intelligents utilisent la technologie
pour contrôler un large éventail de variables dans leurs environnements respectifs
dans le but de fournir plus de confort et de contribuer à la santé et à la
productivité des personnes qui y vivent. Pour ce faire, ils utilisent ce que
l’on appelle des systèmes d’automatisation du bâtiment (ou BAS, pour Building
Automation Systems). Avec l’arrivée de l’Internet des objets (IdO),
les bâtiments intelligents se sont redéfinis. Grâce aux informations qu’ils
obtiennent des capteurs intelligents, leurs équipements technologiques sont
utilisés pour analyser, prédire, diagnostiquer et maintenir les différents
environnements qui les composent, ainsi que pour automatiser les processus et
surveiller de nombreuses variables opérationnelles en temps réel. La température
ambiante, l’éclairage, les caméras de sécurité, les ascenseurs, le
stationnement et la gestion de l’eau ne sont que quelques-uns des services
automatisables actuellement pris en charge par cette technologie qu’est la
domotique.
Pour mettre en perspective les possibilités de
cette infrastructure intelligente, Tony a donné l’exemple d’un hôtel à Las
Vegas où, il y a deux ans, on a décidé d’installer un système d’automatisation
sophistiqué pour contrôler l’utilisation de la climatisation (sachant que Las Vegas
a un climat désertique chaud et très peu de pluie). La climatisation s’ouvre
donc uniquement quand il y a du monde. Cette décision a permis à cet hôtel
d’économiser 2 millions de dollars américains au cours de la première année
suivant l’installation du système intelligent, grâce à la réduction de la
consommation d’énergie obtenue grâce à l’automatisation du processus. Les Hôtels
Marriottont mis en place un système
similaire à l’échelle de l’ensemble de la chaîne, qui devrait générer des
économies d’énergie estimées à 9,9 millions de dollars américains.
Un autre exemple d’automatisation par le biais
d’appareils intelligents présenté par Tony est celui utilisé par un supermarché du
Royaume-Uni. Le magasin a installé un système intelligent dans son
stationnement, qui génère de l’énergie cinétique à partir du mouvement des
voitures qui le traversent, puis utilise cette énergie pour alimenter les
caisses.
À première vue, on pourrait croire que ces
technologies ne posent aucun risque de sécurité pour ces bâtiments intelligents.
Cependant, il est probable que, à un moment ou un autre, l’ensemble du réseau
intelligent soit connecté à une seule base de données. C’est là que réside le
risque. Surtout si l’on considère que les dispositifs de l’IdO sont
généralement fabriqués par des fournisseurs différents, qui n’ont peut-être pas
accordé l’attention voulue aux considérations de sécurité lors de leur
conception et de leur fabrication. Et, même si beaucoup d’entre nous pensent
que nous ne vivrons jamais dans un bâtiment comme celui-ci, Tony a noté
qu’« il est probable que beaucoup de gens qui ne vivent pas dans un
bâtiment avec ces caractéristiques le feront à un moment donné », puisque
le marché des bâtiments intelligents qui utilisent l’IdO est en pleine
croissance.
Probabilité que
des bâtiments intelligents soient attaqués
Le risque qu’un incident de sécurité se produise
dans un bâtiment intelligent est lié aux motivations des cybercriminels, qui
cherchent principalement à réaliser des gains économiques par leurs actions, à
avoir un impact ou à répandre la peur.
Il existe déjà des outils tels que Shodan, qui
permettent à quiconque de découvrir des dispositifs IoT vulnérables ou non
sécurisés qui sont publiquement connectés à Internet. Comme Tony l’a expliqué,
si vous effectuez une recherche à l’aide de cet outil, vous pouvez trouver des
milliers de systèmes d’automatisation du bâtiment dans ses listes, ainsi que
des informations qui pourraient être utilisées par un attaquant pour
compromettre un appareil. En février 2019, environ 35 000 systèmes domotiques
apparaissaient sur Shodan, à la portée du public mondial via Internet.
Cela signifie que quelqu’un pourrait prendre le
contrôle d’un BAS après l’avoir trouvé grâce à une recherche. Si, par exemple,
un criminel utilise Shodan pour rechercher des systèmes d’automatisation du
bâtiment à attaquer, il trouvera des adresses IP. S’ils copient ces adresses IP
dans la barre d’adresse d’un navigateur Web, dans de nombreux cas, une
interface s’affichera pour y accéder, où ils devront entrer un nom
d’utilisateur et un mot de passe. Si le mot de passe est un mot de passe par défaut
ou s’il peut être facilement piraté par une attaque brutale, l’attaquant aura
accès au panneau de surveillance du système, qui contient des informations
similaires aux détails visibles par les entreprises situées dans le bâtiment
intelligent.
Ainsi, l’attaquant peut obtenir accès à cette
information publique et peut surveiller, par exemple, le fonctionnement de la
climatisation. À ce moment, il peut passer un appel téléphonique en prétendant
être de la compagnie de maintenance et dire qu’il va envoyer un technicien
parce qu’il a remarqué que les ventilateurs fonctionnent à pleine puissance. En
même temps, l’attaquant pourrait demander un accès à distance, ce qui lui
donnerait accès au serveur et lui permettrait de contrôler le bâtiment. Une
fois qu’il en a le contrôle, il peut modifier les systèmes de chauffage ou de
climatisation de l’immeuble, ou ajuster le mode de fonctionnement de tout autre
système automatisé, puis exiger le paiement d’une rançon en utilisant un
système qui leur permet de rester anonymes, comme un paiement en cryptomonnaie,
en échange de quoi il s’engage à ne pas rendre l’immeuble non-fonctionnel ou
inaccessible.
Siegeware : Une
menace bien réelle
Dans ce récent article,
le Chercheur sénior en sécurité d’ESET Stephen Cobb souligne que ce type
d’attaque n’est pas un événement isolé. Après qu’il eut demandé de l’aide aux
autorités à la suite d’un tel incident, à sa grande surprise, elles lui ont
répondu : « On a déjà vu ça avant. » En d’autres termes, les
cybercriminels mènent déjà de telles attaques lorsqu’ils en ont l’occasion.
Stephen définit succinctement ce type d’attaque comme siegeware,
c’est-à-dire « la capacité codée de faire une demande crédible d’extorsion
basée sur une fonctionnalité de bâtiment numérique déficiente. »
En conclusion, le faible coût des dispositifs d’IdO
pour les bâtiments et les progrès de la technologie des systèmes
d’automatisation des bâtiments entraînent des changements ayant un impact sur
la sécurité. Cette tendance à l’automatisation et à l’utilisation d’appareils
intelligents pour recueillir des données – afin d’offrir plus de confort aux
utilisateurs d’un bâtiment et d’utiliser plus efficacement des ressources comme
l’énergie – entraîne également des risques accrus pour la sécurité. Par
conséquent, la possibilité qu’un cybercriminel lance une attaque de
rançongiciel contre un bâtiment intelligent est déjà une réalité.
Article complet sur: