Les automates industriels peuvent être piratés, avec de graves conséquences potentielles

Le par  |  14 commentaire(s) Source : Re/code
robotisation chaine assemblage.

Une étude de Trend Micro révèle que les robots industriels d'assemblage ne sont pas si bien protégés contre les piratages, avec un risque de dysfonctionnement des produits finis qui pourrait avoir de lourdes conséquences.

Le monde devenant toujours plus connecté, le risque de piratage des objets et équipements augmente d'autant. Les récentes attaques DDoS menées à partir d'objets connectés anodins du quotidien, comme des caméras de sécurité dans le cas de Mirai, par exemple, déclenchent déjà des perturbations sensibles.

Foxbot logoMais ce danger peut prendre une tout autre tournure qu'une perturbation d'accès aux services Internet quand le piratage touche le système de bord d'un véhicule...ou des automates industriels.

Ces derniers sont programmés pour réaliser des tâches répétitives précises et soigneusement planifiées.

Une modification insidieuse de cette programmation de quelques millimètres au-delà des zones de tolérance peut, si elle est suffisamment discrète ou ponctuelle pour échapper aux contrôles qualité, conduire à de lourdes et dangereuses conséquences en fonction du produit assemblé.

Une étude de Trend Micro s'est attachée à étudier la sécurité des robots industriels connectés à Internet (pour des raisons de suivi ou de mise à jour) de cinq grands fournisseurs.

Les chercheurs en sécurité sont ainsi parvenus à modifier la programmation de manière à faire légèrement sortir le robot du cadre prévu, du fait de l'utilisation de connexions à Internet mal sécurisées.

D'autres faiblesses ont été repérées par les chercheurs du côté de l'authentification des utilisateurs habilités à modifier la programmation, certains systèmes ne nécessitant pas de mot de passe ou utilisant des identifiants et mots de passe standard impossibles à modifier.

Il ne serait donc pas difficile à une entité malveillante d'en prendre le contrôle, à la manière du botnet Mirai qui exploitait des listes de mots de passe génériques utilisés par les fabricants de caméras de sécurité pour tous leurs équipements.

Le site Re/code note toutefois que ces faiblesses constatées dans les robots industriels sont relativement faciles à corriger et relèvent surtout d'une absence de prise en compte de cette question de la sécurisation de l'équipement lors de sa conception. D'autres vulnérabilités sont plus problématiques dans la mesure où elles touchent au design de machines qui n'étaient pas à l'origine prévues pour être connectées à Internet.

Complément d'information

Vos commentaires Page 1 / 2

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1963773
Faudra attendre un drame mondiale avant que des lois passent pour imposer une sécurité élémentaire des les devices qui sortent...

Donc bon, continuons, nous fonçons droit dans le mur en tout cas.
Le #1963778
Forcement avec tant de lacunes, c'est chercher le bâton pour ce faire battre.
Le #1963780
Un obstacle majeur pour la robotisation des usines. Ça ralentira le phénomène je l'espère vu l'exemple en Chine..
Le #1963783
Réflexion de Geek : Confer Battlestar Galactica. Le BSG parvient à survivre à l'attaque des Cylons uniquement parce que ses équipements informatiques et de com sont offline...
Le #1963790
oOEcthelionOo a écrit :

Réflexion de Geek : Confer Battlestar Galactica. Le BSG parvient à survivre à l'attaque des Cylons uniquement parce que ses équipements informatiques et de com sont offline...


Ah bah si c'est dans "Galactica", alors...
Le #1963798
Non mais sérieusement vous foutez les automates dans un Vlan qui n a pas accès a l’extérieur.



Le #1963799
C'est pas comme si on n'avait pas d'exemple, hein...

Quand on a proclamé l'IoT, il était facile de poser des normes de sécu, mais bon, c'est pasque ça les arrangeait pas, avec l'argent, toussa... Bref, on nous expliquerait....

On voit, ouhai...
Le #1963804
La plupart des gros automates ont des protections mécaniques (capteurs de butées, cellule de détection de présence, etc) et non logiciels. Donc les risques sont limités
Le #1963810
si il se fait attraper, il prendra severe aussi à méditer .
Le #1963814
Pour raison de santé, je suis actuellement équipé d'un défibrillateur portable externe, autonome et connecté. Le mot de passe de cet appareillage vitale pour moi c'est: admin/admin ... Ensuite, via un accès http un interface de réglage est disponible. Il suffirait qu'un petit malin modifie les seuils de détection de fibrillation pour empêcher son déclenchement, mettant ma vie en danger. J'ai même vue un code de test permettant de déclencher une décharge sans nécessité médicale ... Sympa pour "sonner" une futur victime....
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]