Après que des pirates ont attaqué plusieurs centrales électriques ukrainiennes, l'année dernière, l'infrastructure informatique de sites affectés a donné lieu à une enquête approfondie. Or, selon le rapport qui a suivi, de nombreux employés de centrales nucléaires, usines chimiques, usines appartenant à la défense et à l'armée utilisent encore des bipers (ou pagers) pour communiquer. Or, ceux-ci transmettent des messages non chiffrés, les exposant au piratage le plus amateur.Grâce à leur radiomessagerie, les employés transmettent des données sensibles sur l'état des infrastructures, des noms, des informations de contact, et autres renseignements qui pourraient permettre à des pirates de mettre en œuvre des techniques d'ingénierie sociale.« Parce que les messages envoyés par radiomessagerie ne sont généralement pas chiffrés, les pirates peuvent les afficher sur leur propre appareil, même à distance ; ils n'ont besoin que d'un bon savoir-faire, d'une radio logicielle (SDR) de de 20€ pour une clé logicielle, » explique le nouveau rapport de la société de sécurité Trend Micro.Durant quatre mois, Trend Micro a testé les équipements et logiciels de diverses installations critiques aux États-Unis et au Canada. Au total, l'entreprise a répertorié près de 55 millions messages envoyés par radiomessagerie, dont environ un tiers étaient alphanumériques (certains pagers ne permettaient d'envoyer que des informations numériques ou des alertes sonores).Parmi les principaux coupables de cette utilisation abusive des pagers, il y a les systèmes d'alerte automatique, qui permettent d'avertir les employés d'un problème sur leur site de travail.« Au cours du projet, nous avons vu de multiples systèmes l'alerte basés sur l'utilisation des bipers. Ces alarmes peuvent donner des informations sur la disposition des bâtiments, les produits qui y sont utilisés, et autres informations qui tiennent du secret industriel, » indique le rapport.De nombreux pagers étaient également utilisés pour écrire des messages en toutes lettres, notamment auprès des employés de centrales nucléaires.Parce que les pagers n'utilisent ni chiffrement ni système d'authentification, un pirate pourrait envoyer ses propres messages en se faisant passer pour un employé de l'entreprise, sans que sa cible ne soit en mesure de vérifier l'identité de l'émetteur du message en question.Quant à savoir qui pourrait vouloir tirer parti de ces faiblesses, les exemples ne manquent pas : on pense plus particulièrement aux acteurs étatiques cherchant à saboter ou à obtenir des renseignements sur une installation. Mais des concurrents privés pourraient également être intéressés par les informations récoltées, indique le rapport.« Toute entreprise qui utilise des pagers pour transmettre des informations importantes sur un site devrait savoir qu'elle est vulnérable au piratage, » conclue-t-il.Trend Micro recommande aux sociétés concernées de chiffrer tous leurs messages, d'utiliser des systèmes d'authentification et de contrôler les failles possibles de leur système de communication interne.
Publicité
« Parce que les messages envoyés par radiomessagerie ne sont généralement pas chiffrés, les pirates peuvent les afficher sur leur propre appareil, même à distance. »
Publicité