Avez-vous déjà entendu parler de « siegeware » ? Ce type de ransomware existe depuis un certain temps déjà, mais il est rarement évoqué. Les attaques contre les bâtiments intelligents sont encore loin d’être courantes, mais leur nombre ne cesse d'augmenter. Découvrez les siegeware et comment éviter cette menace.
Imaginez être aux commandes d’un bâtiment intelligent. Il peut s’agir d’un bureau, d’un immeuble résidentiel ou même d’un hôpital. Des problèmes surgissent soudain : les portes refusent de se verrouiller ou de se déverrouiller, le chauffage devient incontrôlable ou les ascenseurs se bloquent. Le système de contrôle ne répond plus, et vous voyez un message vous demandant de payer immédiatement une rançon, sans quoi le système restera hors ligne. Cela vous semble irréel ? Avec l’émergence des siegewares, un type de ransomware qui cible les bâtiments intelligents, ce scénario devient réel. Les exploitants et les propriétaires de bâtiments intelligents devraient se familiariser avec la menace et préparer leurs stratégies en conséquence.
Les ransomwares deviennent des siegewares
Avec l’essor de l’Internet des objets (IdO ou IoT), les cybercriminels peuvent facilement s’emparer des biens d’une personne et les utiliser à des fins d’extorsion, que ce soit via des ordinateurs, des téléphones ou des véhicules (il est alors question de « jackwares »). Les siegewares exploitent les systèmes numériques d’un bâtiment en réseau et, dans certains cas, utilisent l’accès pour provoquer le chaos, par exemple en coupant le courant, en stoppant les ascenseurs, en éteignant les systèmes de climatisation, ou tout cela en même temps. Le propriétaire du bâtiment est alors convaincu qu’il ne pourra récupérer le contrôle qu’après avoir payé une généreuse rançon, mais cela ne résout pas toujours la situation. Les criminels ne libèrent que rarement les systèmes infectés après le déclenchement d’un siegeware. Certains peuvent penser que les siegewares sont un problème inventé, mais cette menace existe depuis déjà un certain temps
Scénario de siegeware réel
Un cadre d’une société immobilière gérant une douzaine d’immeubles dans plusieurs villes américaines a reçu le message suivant sur son smartphone : « Nous avons piraté tous les systèmes de contrôle de votre bâtiment de XXX Street 400, et nous les éteindrons pendant trois jours si vous ne payez pas 50 000 dollars en bitcoins dans les 24 heures. » Le bâtiment situé à cette adresse est l’une des nombreuses cliniques médicales du portefeuille de la société, qui utilise des « systèmes d’automatisation des bâtiments » (BAS) pour contrôler à distance le chauffage, la climatisation et la ventilation, ainsi que les alarmes incendie et les systèmes de gestion comprenant l’éclairage, la sécurité, etc. L’administrateur contrôle généralement jusqu’à huit systèmes différents à distance. L’entreprise a eu la prévoyance d’élaborer un plan de crise efficace, et n’a pas donné suite à la tentative de chantage. Bien que le scénario soit totalement nouveau pour elle, l’équipe informatique a été en mesure de prendre rapidement des mesures de rétablissement. En fin de compte, les activités quotidiennes de l’hôpital n’ont été que temporairement perturbées, et l’incident a eu peu de conséquences.
Source : WeLiveSecurity, 2019 |
L’accès à distance : source de confort ou de danger ?
Avec le degré croissant d’automatisation et de connectivité, « prendre les bâtiments en otage » est assez facile : Il suffit aux cybercriminels de pirater le BAS via Internet pour prendre le contrôle total de toutes les fonctionnalités. Ils profitent des possibilités offertes par la télémaintenance, qui est censée accroître le confort à moindre coût. Les techniciens peuvent aujourd’hui résoudre les problèmes ou mettre en œuvre de nouveaux paramètres à partir d’un bureau de commande central situé à un endroit différent. Cela devient problématique lorsque l’accès à distance est conçu pour être performant et non sécurisé, les fabricants se contentant souvent d’une simple combinaison d’un nom d’utilisateur et d’un mot de passe pour protéger l’accès. La sécurité dès la conception, les mécanismes de défense contre les attaques par force brute ou l’authentification multifacteur (MFA) pourraient apporter davantage de sécurité, mais ils sont trop souvent omis pour des raisons de coût.
Les victimes sont étonnamment faciles à trouver
Comment les cybercriminels trouvent-ils leurs victimes ? Le moteur de recherche Shodan (www.shodan.io) facilite plutôt les choses. Une recherche sur « BAS » conduit à environ 11 095 cibles potentielles dans le monde entier, qui pourraient être atteintes via l’Internet public. Parmi elles, 1 162 sont situées aux États-Unis (au 06/06/2022). Elles sont toutes soigneusement répertoriées et renseignées par de nombreuses données supplémentaires, allant de l’adresse IP jusqu’aux informations SSL et au routeur utilisé. En 2015, l’Université du Michigan a créé Censys, qui fonctionne de manière similaire à Shodan et permet malheureusement aux pirates de rechercher facilement les appareils connectés à Internet.
Avec ces connaissances et une liste de victimes, un attaquant a pratiquement le champ libre. Dans le cas le plus simple, il peut tenter d’obtenir un accès en utilisant des noms d’utilisateur standard avec le mot de passe correspondant au type de système concerné. Les informations d’identification par défaut pour différents systèmes sont disponibles en ligne, et malheureusement, de nombreux opérateurs de BAS continuent d’utiliser ces valeurs par défaut plutôt qu’une solution d’accès plus sûre. Même si les identifiants ont été modifiés, il n’y a souvent pas de système de notification ni de limitation du nombre de tentatives de connexion infructueuses, ce qui permet aux cybercriminels d’essayer de pirater les comptes à plusieurs reprises jusqu’à ce qu’ils réussissent.
Les pirates peuvent s’appuyer sur les identifiants les plus fréquemment utilisés et des informations capturées sur le dark web, ou recourir à des méthodes de force brute et/ou des outils de piratage des connexions. Ces derniers sont très populaires et faciles à trouver sur Internet, et ils sont de plus en plus performants et perfectionnés, souvent avec un minimum d’effort. Par conséquent, les attaques de type « siegeware » peuvent être menées même par des cybercriminels sans grand savoir-faire.
Prise en charge de la sécurité
Comment réduire le risque des siegewares ? Deux questions principales déterminent l’action future : Quel est le degré d’automatisation de la technologie du bâtiment et comment l’accès est-il protégé ? Les constructeurs, les gestionnaires immobiliers et les prestataires devraient se réunir et discuter des problèmes de sécurité et d’accès à distance. Aussi pratique qu’il soit de disposer d’un accès à distance à tout moment via une connexion web, l’administrateur/propriétaire manque souvent de connaissances sur les dangers possibles.
Lors de l’utilisation d’un BAS, toutes les parties concernées doivent se poser les questions suivantes :
-
Sommes-nous passés des informations de connexion par défaut à une combinaison plus sûre d’un identifiant unique et d’un mot de passe/phrase de passe ?
-
La connexion est-elle située derrière un pare-feu ?
-
L’accès est-il sécurisé par une authentification multifacteur ?
-
Existe-t-il une restriction quant au nombre d’échecs de connexion, y compris le blocage des connexions ?
-
Recevons-nous une notification lors de chaque tentative de connexion infructueuse ?
-
Existe-t-il une liste limitée de personnes ayant accès au BAS ?
-
Avons-nous un contrat de maintenance avec le fournisseur qui l’oblige à mettre régulièrement à jour notre logiciel ?
-
Est-ce que nous déconnectons le système d’Internet lorsque la connexion n’est pas nécessaire ?
-
Avons-nous préparé un plan fonctionnel de traitement des crises afin qu’en cas de problème, nous sachions qui contacter et quoi faire ?
Si la réponse à l’une de ces questions est négative, il est possible que votre BAS soit vulnérable à une cyberattaque. Outre les désagréments qu’elle occasionne, la remédiation d’une attaque de type « siegeware » peut coûter cher, et si l’incident est évoqué publiquement, l’entreprise attaquée peut être considérée comme peu fiable ou peu sûre. Les propriétaires de bâtiments peuvent également faire l’objet de poursuites judiciaires et d’amendes élevées. Dans l’ensemble, les siegewares ont un impact bien plus important que le simple fait de verrouiller quelques portes ou d’arrêter le chauffage pendant un certain temps. Soyez conscient des risques et faites tout votre possible pour protéger votre BAS.