Depuis des années, le concept de « smart city » nous promet un avenir radieux, où tous les équipements urbains tels que l’éclairage, les feux de signalisation ou les bornes de chargement sont connectés et pilotables à distance, pour le plus grand confort des habitants. Mais sur le plan de la sécurité, c’est plutôt l’inverse qui est en train de se passer. A l’occasion de la conférence Le Hack 2019, qui s’est tenue à Paris le 6 juillet, plusieurs chercheurs en sécurité ont montré l’envers du décor. Et ce n’est pas joyeux.
Ainsi, deux ingénieurs d’une société de services en sécurité informatique (*) ont audité plusieurs villes en Europe de moyenne et grande taille, selon trois scénarii : attaque externe depuis l’internet ; attaque interne dite « du stagiaire » depuis le réseau de l’exploitant ; et attaque physique directement sur les équipements publics.
Dans le premier scénario, il n’y avait – heureusement – pas grand-chose à signaler. « Nous n’avons jamais réussi à prendre le contrôle des équipements publics directement depuis l’internet », nous rassure l’un d’eux. En revanche, les deux auditeurs sont tombés sur l’interface de programmation d’un logiciel de comptabilité, qui était accessible depuis le web et permettait de parcourir le contenu d’un serveur. « Cela nous a quand même permis de récupérer pas mal de données sur les matériels utilisés : switchs, caméras, etc. », souligne l’expert.
Avec l’attaque « du stagiaire », la moisson s’est montrée déjà plus riche : absence de chiffrement, manque de cloisonnement, systèmes mal configurés, listes de mots de passe en partage sur le réseau, mots de passe triviaux sur certains comptes locaux ou comptes de domaine, systèmes obsolètes et vulnérables, etc. Les possibilités de piratage ont été nombreuses. Dans un cas, ils ont même, par exemple, exploité la célèbre faille EternalBlue pour accéder depuis un poste bureautique de l’exploitant au serveur qui pilotait l’éclairage urbain d’une ville entière.
Mais le véritable jackpot, c’est au niveau des équipements physiques qu’ils l’ont trouvé. Vêtus de gilets oranges pour passer inaperçus, les deux experts ont fait le tour des installations que les villes leur demandaient d’analyser. Premier constat : pirater sur la voie publique est plus simple qu’il n’y paraît. Personne ne leur a jamais demandé s’ils avaient l’autorisation d’intervenir. Même les forces de l’ordre n’y ont vu que du feu. L’intrusion s’est ensuite faite presque les mains dans les poches.
Les armoires censées protéger les équipements n’apportent souvent aucune protection. Une clé triangulaire ou un crochet basique suffit généralement pour les ouvrir. Pour accéder aux systèmes contenus dans ces armoires, c’est également assez facile, car les systèmes sont obsolètes et les mots de passe triviaux, voire inexistants. Dans un cas, il n’y avait même pas besoin d’indiquer un login, il suffisait de presser la touche entrée ! Parfois, les auditeurs ont également trouvé des listes de mots de passe affichés à l’intérieur.
Il est fréquent que tous ces équipements publics soient interconnectés les uns aux autres. L’accès à une armoire permet alors d’accéder à toutes les autres du même type, voire à des systèmes totalement différents. Dans un cas, les deux auditeurs se sont appuyés sur une armoire de gestion de feux de signalisation pour se connecter à un réseau de caméras de surveillance, toutes accessibles sans mot de passe. « On pouvait surveiller tous les carrefours, et même certains locaux publics », précise l’ingénieur.
Parfois, les techniciens de la ville facilitent le travail du hacker et installent directement un outil de prise de contrôle à distance comme TeamViewer. Pas la peine, dans ce cas, de se déplacer. On peut tranquillement pirater les équipements publics depuis son canapé. Pourquoi tant de failles et de mauvaises configurations ? « Ces produits de ville intelligente forment un petit marché de niche, sans véritable concurrence et sans culture de sécurité. De plus, il n’est pas rare de voir des cascades de prestataires dans ces projets, ce qui dilue les responsabilités », estime l’ingénieur.
De son côté, le chercheur en sécurité Sébastien Dudek, de la société Synacktiv, a présenté lors de la conférence Le Hack 2019 une analyse des bornes de recharge pour voitures électriques. Chaque borne forme, avec les voitures qui sont branchées sur elle, un réseau local CPL. Ce qui permet d’échanger des données transactionnelles d’ordre technique ou financière (le paiement pour la recharge par exemple).
En théorie, les communications au sein de chaque réseau de bornes sont bien sécurisées, grâce au chiffrement AES. Mais en réalité, il existe dans la procédure d’association une faille de design qui permet de collecter les clés de chiffrement AES de n’importe quelle borne, et donc de s’y connecter. Pour cela, l’attaquant n’a pas forcément besoin de se déplacer physiquement vers cette borne. En effet, les signaux CPL se diffusent assez librement à travers le réseau électrique et peuvent être captés depuis un logement aux alentours. Une simple prise CPL Devolo 1200+ à 60 euros peut alors suffire pour se connecter à une borne située à proximité. Pour pouvoir aller plus loin dans l’analyse de sécurité, Sébastien Dudek et ses collègues ont d’ailleurs développé un outil baptisé « V2G Injector » qui permet d’analyser et de manipuler le trafic échangé entre la borne et les voitures.
Le risque de cette faille, c’est qu’un pirate pourrait collecter les données de session échangées au sein d’un réseau de bornes. Il pourrait également tenter d’attaquer la borne elle-même et, par l’intermédiaire d’un service vulnérable ou mal configuré, remonter au réseau de l’exploitant. Rien n’empêcherait, évidemment, les fournisseurs de bétonner les échanges de données entre la borne et les voitures en implémentant le protocole TLS. « Mais il faudrait alors déployer toute une architecture de clés publiques (PKI) au niveau des bornes et des voitures, ce qui est complexe. Pour l’instant, nous n’avons jamais vu TLS activé quelque part », nous précise Sébastien Dudek. Là encore, la facilité et la rapidité de déploiement semblent l’emporter sur la sécurité. Selon le chercheur, la vulnérabilité trouvée dans les bornes de recharge se retrouve également au niveau des compteurs intelligents, eux aussi interconnectés par le CPL.
Bref, ces premières analyses de sécurité ne présagent rien de bon quant à l’avenir des « smart cities ». Si rien ne change, les scénarios catastrophe que l’on voit au cinéma pourraient bien devenir réalité.
(*) Article modifié le 16 juillet. A la demande des deux intervenants, nous avons supprimé les informations relatives à leur identité et à leur employeur.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.