Un lave-vaisselle connecté permet de pirater le réseau informatique des hôpitaux

Malgré la série de catastrophes qui a affecté l’Internet des objets ces dernières années, les constructeurs d'appareils ménagers s’acharnent toujours à connecter leurs merdes à Internet.

|
mars 29 2017, 7:00am

« Si c'est connecté à Internet, alors on peut le pirater ». Ce dicton, qui pourrait agrémenter la moitié des articles de Motherboard, doit pourtant être rabâché encore et encore dans l'espoir que les constructeurs d'objets électroniques se l'approprient un jour. Pourtant, les cocottes-minute, ampoules, thermostats, trackers GPS, panneaux d'affichage, et autres ours en peluche connectés continuent d'être piratés et à faire les gros titres, chaque semaine ou presque.

Il faudra sans doute attendre une catastrophe sans précédent pour que l'on abandonne enfin le grand rêve idiot de l'Internet des objets.

En attendant, notre dernier génie en date, le géant de l'électroménager allemand Miele, a décidé de fabriquer un lave-vaisselle connecté à Internet. Évidemment, quelqu'un a immédiatement trouvé une faille de sécurité qui permet d'infecter le système avec un malware, et de l'utiliser comme levier afin de pirater d'autres appareils connectés au réseau local de l'appareil.

Le plus tragique dans cette histoire, c'est qu'il ne s'agit pas là d'un lave-vaisselle ordinaire. L'appareil en question est en réalité un « laveur-désinfecteur » utilisé dans les hôpitaux, les établissements médicaux et les laboratoires. Pour qui veut dérober des informations médicales privées ou demander une rançon après avoir copié des bases de données patients, il s'agit donc d'une cible idéale.

C'est Jens Regel, consultant en sécurité informatique, qui a découvert un bug « dans le répertoire serveur web » du Miele PG 8528. Celui-ci l'a aiguillé vers une faille de sécurité tandis qu'il effectuait un test de pénétration réseau ou « pentest ». Le genre de vulnérabilité qui permet à un attaquant d'accéder au système de fichiers du serveur auquel la machine se connecte.

« Dans le pire scénario, un attaquant infecte le système avec un malware et est en mesure d'attaquer d'autres appareils connectés au réseau, » nous explique Regel par email. 

Le lave-vaisselle Miele Professional PG 8528. Image : Miele

La bonne nouvelle, selon Regel, c'est que ces lave-vaisselles ne sont pas faits pour être accessibles directement par Internet. En théorie, un hacker aura donc besoin d'être connecté au réseau local pour pouvoir en attaquer un.

Cependant, selon Dan Tentler, chercheur en sécurité, à un moment donné, suite à une négligence quelconque, au moins un de ces appareils a été connecté à Internet et a donc pu être identifié par Regel.

« C'est vraiment trop marrant. Un lave-vaisselle sur Internet ! » s'exclame Tentler dans une discussion instantanée avec Motherboard. Maintenant qu'il a connaissance de cette faille et de la technique à employer pour l'exploiter, il pense qu'il trouvera d'autres lave-vaisselles de ce genre sur le net.

« C'est vraiment trop marrant. Un lave-vaisselle sur Internet ! »

Le principal problème de ce genre d'appareils, c'est que leurs fabricants ont peu ou pas d'expérience en matière de cybersécurité. Regel a tenté d'avertir Miele en novembre 2016 sur les risques que présentaient ses produits, mais après une courte conversation avec un porte-parole, la société n'a jamais donné suite.

Nous avons alors contacté Miele nous-mêmes, sans plus de succès. Lundi, un représentant de l'entreprise nous a dit qu'ils « étaient actuellement en train d'étudier l'affaire. » Nous n'en saurons pas davantage. Espérons qu'à terme, Miele ravalera sa fierté et fera en sorte que ses appareils se consacrent de nouveau à leur seule et unique tâche : laver des instruments médicaux.