On connaît déjà les risques liés aux voitures connectées et autonomes. La prise de contrôle à distance par une personne non autorisée, par exemple. S’il s’agit d’un petit comique qui veut seulement s’amuser, il se contentera probablement de vous envoyer à un endroit »piquant » (on laisse à votre imagination le soin de développer ce que ce terme peut représenter pour chacun). Mais s’il s’agit d’une personne malintentionnée – pirate, malfaiteur, terroriste,… – les conséquences pourrait être dramatiques. Enlèvement, précipitation du véhicule contre un mur ou dans le vide,… Science-fiction? S’il est possible d’espionner le GSM d’Angela Merkel ou de pirater l’ex-Belgacom,… Mais c’est un autre scénario inquiétant qu’évoque une enquête de Trend Micro.
Quelques-uns de ses chercheurs se sont intéressés aux stations d’essence et à leur technologie. Et ils ont réalisé que, de février à juillet, au moins 23 attaques ont été déclenchées. Sans conséquences dramatiques. Les cyber-agresseurs se sont essentiellement contentés de modifier des informations liées aux pompes à essence. Dans deux des cas, ils ont interrompu le service. Selon les enquêteurs de Trend Micro, ces attaques pourraient notamment modifier les données relatives aux quantités de carburant disponibles. Les stations pourraient dès lors tomber à court sans avoir planifié de réapprovisionnement. Autre problème potentiel: le changement d’identification d’une pompe qui pourrait conduire un automobile à remplir son réservoir de diesel quand il a besoin d’essence, ou l’inverse. A ce stade, il n’existerait pas de possibilité de faire exploser les stations à distance, par exemple. Les seuls paramètres « piratables » auraient trait aux indications de volumes, à la température, etc.
Dans le cadre de l’enquête, les chercheurs ont testé des stations des Etats-Unis, de Russie, d’Allemagne ou encore de GrandeBretagne. Et ils ont constaté que la plupart des pompes sont connectées à Internet sans mot de passe. Le problème, c’est que la documentation serait largement disponible sur le Web et donc accessible à n’importe qui.
Selon les enquêteurs, certaines des attaques opérées s’inscrivaient clairement dans un processus de reconnaissance. Si les stations d’essence américaines ont été les plus visées, elles pourraient n’avoir servi que de préparation à un autre type d’attaque qui ciblerait par exemple la distribution d’eau ou d’électricité.
Pirater les stations d’essence pourrait conduire à prendre l’économie mondiale en otage. Sans accès au carburant, impossible de se déplacer que ce soit pour le travail ou les loisirs, les services d’urgence deviendraient inopérationnels, l’approvisionnement des magasins ne pourrait plus être effectué,… Il suffirait de quelques semaines pour mettre le monde à genoux.
Trend Micro est une entreprise commerciale. En révélant cette situation, elle ne fait que plaider pour sa chapelle en démontrant l’importance des systèmes de sécurité et des mesures à mettre en place. C’est de bonne guerre. Il faut maintenant que des autorités indépendantes – pas les compagnies pétrolières – analysent le dossier, aillent plus loin dans l’enquête et adoptent les mesures nécessaires pour aujourd’hui… et surtout pour demain.
Pour conclure…
On peut crier « au loup », mais présenter soi-même d’importantes failles. Démonstration avec le site trendmicro.be, qui renvoie exclusivement à des pages en néerlandais. Les éventuels Belges francophones qui seraient néanmoins désireux d’en savoir plus sur l’entreprise devront se rabattre sur la section du site prévue pour la France. On ose espérer que l’enquête de Trend Micro – et ses produits commerciaux – rend davantage justice à son ambition d’être le « leader mondial en matière de protection du cloud et de la virtualisation » et « un pionnier dans le domaine des technologies de gestion intégrée des menaces« .