Sécurité des IoT : un employé pirate les portes de Google

Par:
fredericmazue

mar, 04/09/2018 - 16:36

Les IoT sont, à juste titre, de plus en controversés en matière de sécurité. Mais auriez-vous imaginé que grâce aux IoT censés protéger les locaux de la société, il était facile de pénétrer au sein de Google ?

C'est ce que rapporte Forbes. Un pirate informatique a trouvé un moyen de tromper les portes des bureaux de Google à Sunnyvale, pour les ouvrir sans la carte-clé RFID requise.

Fort heureusement pour Google, le pirate n'avait que de bonnes intentions : il s'agissait de David Tomaschik, un employé de la firme. David n'a agit que pour démontrer que Google n'était pas en sécurité avec son système de ... sécurité.

David a examiné les messages chiffrés que les appareils Software House (iStar Ultra et IP-ACM) du système envoyaient sur le réseau de Google, pour découvrir qu'ils n'étaient pas aléatoires. Les messages chiffrés doivent toujours paraître aléatoires s'ils sont correctement protégés. Intrigué, David a découvert plus en profondeur qu'une clé de cryptage 'codée en dur' était utilisée par tous les appareils Software House. Cela signifiait qu'il pouvait reproduire efficacement la clé et forger des commandes, telles que celles demandant à une porte de se déverrouiller. Ou qu'il pourrait simplement rejouer des commandes de déverrouillage légitimes.

David a également découvert qu'il pouvait faire tout cela sans laisser de traces de ses actions. Et qu'il pouvait même empêcher les employés légitimes de Google d'ouvrir des portes. Comme dans les film d'agents secrets... :-)

A la suite de ces événements, un porte-parole de Google a déclaré qu'il n'y avait aucune preuve que les portes avaient été exploitées par des pirates malveillants (sans s'étendre sur le fait qu'il est démontré qu'il était possible de pirater sans laisser de traces ;-). La carte iStar v2 utilise désormais une forme de chiffrement plus appropriée  qui permet de résoudre le problème. Parallèlement, Google a segmenté son réseau afin de protéger les systèmes vulnérables encore présents dans ses propriétés, toujours selon son porte-parole.