Discussion :

[Patrick Ruiz]

Un employé de Google pirate les portes de bureaux de l’entreprise
Pour l’avertir des vulnérabilités des dispositifs de l’IoT intégrés à ses systèmes

On parle des portes de bureaux de la firme de Mountain View situés à Sunnyvale – une municipalité du comté de Santa Clara en Californie aux États-Unis. Un féru de l’informatique a réussi à en provoquer l’ouverture sans carte RFID. Google s’en tire sans grand bruit parce que « l’intrus » est de la maison et a initié la manœuvre pour prévenir son employeur.

Que se serait-il passé si l’on avait affaire à un acteur externe ? La question vaut le détour quand on sait que David Tomaschik pouvait commander aux portes de son bureau, ainsi qu’à celles d’autres employés. Autrement dit, il pouvait les maintenir au sein de leurs espaces de travail contre leur gré. Pire, les actions de l’employé du géant de la Tech étaient possibles avec la plus grande des priorités, ce, sans que le système en garde des traces. Un porte-parole de Google a déclaré que rien n’indique qu’un acteur malicieux a profité de la situation depuis le mois de juillet où Tomaschik a fait ses révélations.

L’employé de Google s’est appuyé sur des failles au sein des contrôleurs iSTAR ULTRA de la firme Software House. Il a découvert une clé de chiffrement encodée en dur au sein desdits dispositifs (un grief qui revient dans la plupart des cas de plaintes avec les dispositifs de l’IoT). Tomaschik n’est parvenu à ce constat qu’après avoir remarqué que les messages transmis par les dispositifs sur le réseau de Google sont non aléatoires. Dans de telles conditions, un pirate n’a qu’à copier la clé de chiffrement et à imiter des commandes légitimes.

Cet épisode vient illustrer la légèreté avec laquelle les acteurs du numérique (même les plus gros) continuent de traiter les dispositifs de l’Internet des objets – dans un contexte où des épisodes comme celui du botnet Mirai viennent rappeler que ces derniers font désormais partie des vecteurs d’attaque préférés des cybercriminels. Ce n’est qu’après l’alerte de Tomaschik que Google a segmenté son réseau pour empêcher que des tiers ne répètent la manœuvre. Faisant suite aux révélations de l’employé de Google, Software House a intégré une meilleure forme de chiffrement à ses dispositifs.

L’entreprise propose désormais des dispositifs iSTAR qui chiffrent en TLS. La manœuvre impose de changer ceux présents sur tous les sites potentiellement affectés. Software House déclare que ce détail est réglé avec sa clientèle.

Source : Forbes

Et vous ?

Qu’en pensez-vous ?

Comment expliquer qu’un géant de la Tech comme Google se retrouve dans de tels travers avec toute la médiatisation qu’il y a autour des vulnérabilités des dispositifs connectés ?

Voir aussi :

« L'Internet des Objets » va-t-il changer le monde ? Microsoft expose un futur où terminaux embarqués, Cloud et Web se mélangent

L'Internet des Objets suscite plusieurs interrogations chez les spécialistes selon une étude

L'internet des objets pourrait rapidement devenir l'internet des menaces prévient le fondateur et PDG Kaspersky

Vint Cerf : « quelquefois je suis terrifié par l'internet des objets », le père de l'internet partage les préoccupations suscitées autour de l'IdO

Internet des Objets et respect de la vie privée peuvent-ils aller de pair ? Eve Maler livre son analyse de la question

[Ryu2000]

Qu’en pensez-vous ?

Je trouve ça toujours sympa quand un employé prend des risques pour montrer à son entreprise qu'elle pourrait s'améliorer sur un point.
Il pourrait se faire virer ou se fâcher avec des collègues.

Comment expliquer qu’un géant de la Tech comme Google se retrouve dans de tels travers avec toute la médiatisation qu’il y a autour des vulnérabilités des dispositifs connectés ?

Peut être qu'ils jugeaient que ce n'était pas extremement urgent de combler cette faille.
Il faut peut être changer un composant et l'installer, c'est tout un investissement...

Plus il y a aura de la technologie partout, plus il y a aura des failles à exploiter.

[grunk]

Comment expliquer qu’un géant de la Tech comme Google se retrouve dans de tels travers avec toute la médiatisation qu’il y a autour des vulnérabilités des dispositifs connectés ?

Google n'y est pas pour grand chose puisque ce n'est pas lui qui produit le système mais Software House. Comme toutes les sociétés je doute qu'il audit tout ce qui rentre dans leur batiments. Sinon autant tout faire soit même.

Le problème de l'iot c'est qu'on est au croisement de 2 mondes. Le hardware et le software. Très souvent les soft iot son assez simple pour être codé par les électroniciens qui n'ont pas forcément toutes les notions de sécurité qu'un développeur est censé avoir.
Trouver des profils qui sont à la fois très à l'aise avec le matériel et avec le code c'est pas évident ce qui peut conduire à ce genre de problème.