La FCC, le régulateur américain des télécommunications, alerte sur une vague de piratages visant des stations de radio.
Des hackers exploitent des failles (ou plus exactement les configurations par défaut non modifiées) dans des équipements suisses Barix mal sécurisés pour diffuser de fausses alertes d'urgence et des contenus obscènes, semant la confusion et soulignant des lacunes critiques en matière de cybersécurité.
Une vulnérabilité matérielle bien identifiée
Au cœur de cette série d'incidents se trouve une faille de sécurité récurrente. La Commission Fédérale des Communications (FCC), le gendarme des télécoms américain, a pointé du doigt des équipements de transmission audio fabriqués par la société suisse Barix.
Le maillon faible se situe au niveau du lien studio-émetteur (studio-transmitter link - STL), qui assure le transport du signal audio depuis les studios jusqu'aux antennes de diffusion.
Barix STL, l'équipement intermédiaire entre le studio radio et l'antenne émettrice
Il apparaît que de nombreuses stations de radio exposent ces équipements directement sur Internet sans les protéger adéquatement. Les attaquants exploitent des configurations peu ou mal protégées, notamment l'utilisation de mots de passe par défaut qui n'ont jamais été modifiés.
Une fois l'accès obtenu, ils peuvent reconfigurer l'appareil pour qu'il diffuse un flux audio qu'ils contrôlent, en lieu et place du programme habituel de la station.
Comment les pirates prennent-ils le contrôle des ondes ?
Le mode opératoire des hackers est redoutablement efficace. Ils parviennent à injecter leur propre contenu audio, qui inclut souvent des messages à caractère raciste, des obscénités, mais aussi, et c'est le plus inquiétant, des simulations du signal d'alerte officiel américain, l'Emergency Alert System (EAS).
Ce son strident, conçu pour capter immédiatement l'attention du public en cas de catastrophe naturelle (tornade, ouragan), est détourné pour donner du poids à leurs messages malveillants.
Plusieurs cas concrets ont été rapportés. La station ESPN 97.5 à Houston a vu son direct interrompu pendant un match de football américain des Dallas Cowboys au profit d'une boucle audio contenant des insultes et des fausses alertes.
De même, WVTF, une station affiliée à NPR en Virginie, a été compromise lorsque les pirates ont détourné son flux audio de secours, qui s'était activé suite à un court silence sur l'antenne principale.
Quelle est la réponse des autorités et du fabricant ?
Face à cette menace grandissante, la FCC a publié un avis public urgent, appelant tous les diffuseurs à prendre des mesures de cybersécurité élémentaires.
L'agence recommande d'installer immédiatement les mises à jour logicielles, de remplacer les mots de passe par défaut par des alternatives robustes et de placer les équipements critiques derrière un pare-feu pour filtrer les accès non autorisés.
De son côté, l'entreprise Barix, déjà confrontée à des incidents similaires en 2016, maintient que ses appareils sont sécurisés lorsqu'ils sont correctement configurés et protégés.
La responsabilité est donc en grande partie renvoyée vers les diffuseurs, dont certains n'auraient pas suivi les protocoles de sécurité de base. Au-delà des incidents isolés, cette affaire soulève une question cruciale sur la résilience des infrastructures de communication face à des menaces de plus en plus organisées.
La confiance du public dans le système d'alerte d'urgence, pilier de la sécurité civile, est désormais en jeu.