Un employé de Google pirate les portes de bureaux de l’entreprisePour l’avertir des vulnérabilités des dispositifs de l’IoT intégrés à ses systèmes
On parle des portes de bureaux de la firme de Mountain View situés à Sunnyvale – une municipalité du comté de Santa Clara en Californie aux États-Unis. Un féru de l’informatique a réussi à en provoquer l’ouverture sans carte RFID. Google s’en tire sans grand bruit parce que « l’intrus » est de la maison et a initié la manœuvre pour prévenir son employeur.
Que se serait-il passé si l’on avait affaire à un acteur externe ? La question vaut le détour quand on sait que David Tomaschik pouvait commander aux portes de son bureau, ainsi qu’à celles d’autres employés. Autrement dit, il pouvait les maintenir au sein de leurs espaces de travail contre leur gré. Pire, les actions de l’employé du géant de la Tech étaient possibles avec la plus grande des priorités, ce, sans que le système en garde des traces. Un porte-parole de Google a déclaré que rien n’indique qu’un acteur malicieux a profité de la situation depuis le mois de juillet où Tomaschik a fait ses révélations.
L’employé de Google s’est appuyé sur des failles au sein des contrôleurs iSTAR ULTRA de la firme Software House. Il a découvert une clé de chiffrement encodée en dur au sein desdits dispositifs (un grief qui revient dans la plupart des cas de plaintes avec les dispositifs de l’IoT). Tomaschik n’est parvenu à ce constat qu’après avoir remarqué que les messages transmis par les dispositifs sur le réseau de Google sont non aléatoires. Dans de telles conditions, un pirate n’a qu’à copier la clé de chiffrement et à imiter des commandes légitimes.
Cet épisode vient illustrer la légèreté avec laquelle les acteurs du numérique (même les plus gros) continuent de traiter les dispositifs de l’Internet des objets – dans un contexte où des épisodes comme celui du botnet Mirai viennent rappeler que ces derniers font désormais partie des vecteurs d’attaque préférés des cybercriminels. Ce n’est qu’après l’alerte de Tomaschik que Google a segmenté son réseau pour empêcher que des tiers ne répètent la manœuvre. Faisant suite aux révélations de l’employé de Google, Software House a intégré une meilleure forme de chiffrement à ses dispositifs.
L’entreprise propose désormais des dispositifs iSTAR qui chiffrent en TLS. La manœuvre impose de changer ceux présents sur tous les sites potentiellement affectés. Software House déclare que ce détail est réglé avec sa clientèle.
Source : Forbes
Et vous ?
Qu’en pensez-vous ? Comment expliquer qu’un géant de la Tech comme Google se retrouve dans de tels travers avec toute la médiatisation qu’il y a autour des vulnérabilités des dispositifs connectés ?Voir aussi :
« L'Internet des Objets » va-t-il changer le monde ? Microsoft expose un futur où terminaux embarqués, Cloud et Web se mélangent L'Internet des Objets suscite plusieurs interrogations chez les spécialistes selon une étude L'internet des objets pourrait rapidement devenir l'internet des menaces prévient le fondateur et PDG Kaspersky Vint Cerf : « quelquefois je suis terrifié par l'internet des objets », le père de l'internet partage les préoccupations suscitées autour de l'IdO Internet des Objets et respect de la vie privée peuvent-ils aller de pair ? Eve Maler livre son analyse de la question
Vous avez lu gratuitement 19 articles depuis plus d'un an.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.
Envoyé par Patrick Ruiz
