En juillet dernier, un employé de Google à SunnyVale a réussi à pirater, puis ouvrir les portes du bâtiment de la firme de Mountain View sans utiliser sa carte RFID. L'objectif ? Prouver les failles de sécurité laissée par l'éditeur de logiciel responsable de la sécurité du site.
David Tomaschik est un employé de Google. Il est surtout ingénieur en sécurité système. Comme beaucoup de ses confrères, il prend très à coeur son métier. Dans un article, Forbes relate sa découverte dans les locaux du géant du Web à Sunnyvale, en Californie.
Quand un chercheur en sécurité fait du zèle
En se penchant sur les appareils connectés contrôlés par le logiciel de sécurité de Software House, le chercheur en sécurité a remarqué une bizarrerie. Les messages chiffrés envoyés par les objets connectés dont les portes du bâtiment à travers le réseau de Google n'étaient pas aléatoires. Or, ce critère est essentiel pour assurer la sécurité d'un dispositif. Intrigué, il a fouillé davantage dans les méthodes de chiffrement de protection de Software House. Tomaschik a découvert que tous les appareils reliés à la plateforme de device management disposait de mot de passe chiffré en dur, le même problème rencontré lors de l'attaque du botnet Mirai.
Il a pu reproduire les clés et créer des commandes pour ouvrir les portes des locaux. Il a également pu utiliser la méthode du rejeu qui a donné le même résultat. Surtout, le spécialiste en sécurité a découvert qu'il pouvait ouvrir ou fermer les portes au détriment des employés sans que ses actions soient visibles. A la lecture de ses conclusions, Google a agi rapidement pour empêcher les attaques. Tomaschik a ensuite évoqué lors de la DEFCON de cet été.
Un problème qui ne toucherait pas seulement Google
Selon Forbes, un porte-parole de Google a déclaré qu'il n'y avait aucune preuve que cette faille n'avait été exploitée par des cyberattaquants. La carte informatique dédiée utilise désormais la méthode de chiffrement TLS, plus sûr. L'entreprise a également segmenté son réseau afin de renforcer la sécurité des équipements connectés potentiellement vulnérables.
Or selon le chercheur en sécurité, la technologie de Software House est déployée à large échelle chez Google et dans d'autres entreprises. Ainsi les portes de ces sociétés seraient potentiellement vulnérables à cette faille de sécurité. De même, il explique que la mise à jour de sécurité n'est possible qu'en changeant la carte informatique. L'ancienne version ne serait pas capable de supporter un micrologiciel plus évolué, à cause d'un manque de mémoire.
Un porte-parole Johnson Control, propriétaire de Software House, a déclaré que ce problème avait été résolu avec ces clients. Il n'a cependant pas précisé si les équipements connectés ont été changés dans la procédure.
- Partager l'article :
