Un Ransomware infecte des ordinateurs à partir des machines à café
Il n'est pas surprenant que les appareils Internet de choses (IoT) soient très vulnérables aux cyber-attaques, mais qui savaient qu'un moment viendrait lorsque ces dispositifs deviendraient une menace pour la sécurité des institutions? Il y a quelques mois, les chercheurs ont exposé des vulnérabilités potentiellement mortelles dans les appareils IIoT (Industrial Internet of Things), en particulier les robots industriels. Dans leurs résultats, les robots pourraient être piratés, mais dans ce cas, nous allons discuter d'une machine à café intelligente ou d'une machine à café connectée à Internet.
L'incident a eu lieu en juin 2017 et a été partagé par un ingénieur chimiste chez Reddit qui passe par la poignée de "C10H15N1". Il travaille comme expert en automates programmables (PLC) dans une entreprise qui possède de multiples usines pétrochimiques fabriquant des produits chimiques en Europe. Selon C10H15N1, il a reçu un appel de l'un des opérateurs de l'usine lui informant que quelque chose a frappé le système de contrôle local et tous les systèmes informatiques sont en panne et affichent une erreur. Cependant, lors de l'analyse du problème à distance, C10H15N1 n'a trouvé aucun problème autre que le système de surveillance qui s'est écrasé même s'il n'était pas connecté à Internet. C'est alors que C10H15N1 soupçonnait que quelque chose ne se trompait pas, car le système fonctionnait sous Windows XP. Ici, il faut noter que, il y a quelques mois, des millions d'appareils fonctionnant sous Windows XP ont été gravement infectés par WannaCry ransomware et Petya wiper attack dans le monde entier. Par conséquent, C10H15N1 a demandé à l'opérateur ce qui se passe sur l'écran de l'ordinateur et sa réponse semblait que la société était sous une attaque de ransomware. "Comme je fais partie de l'équipe qui travaille sur le logiciel de surveillance, je vais reprendre l'appel, alors que mon collège continuera à surveiller la situation. J'ai demandé à l'opérateur ce qui se passait sur ses écrans, et il commence à décrire quelque chose qui ressemble très bien à une infâme attaque de ransomware. Ce qui est problématique, car les ordinateurs exécutant le logiciel de surveillance ne sont pas connectés à Internet ", a écrit C10H15N1 sur sa publication Reddit.
Bien qu'il soit peu clair quel système de ransomware atteint le système de l'entreprise, en fonction du calendrier, il est plus probable que le coupable pourrait être WannaCry ransomware puisque le même système de ransomware a également infecté Honda Motors au Japon et des caméras de trafic en Australie en juin 2017. Cependant, en décrivant la situation, C10H15N1 a révélé que son entreprise ne pouvait pas mettre à jour son système d'exploitation en raison des lois locales mises en œuvre par le gouvernement. Par conséquent, ils n'ont plus d'option que d'utiliser Windows XP sur leur système. "Nous ne pouvons pas mettre à jour le logiciel de surveillance sur ces machines car il n'est plus validé par le gouvernement local. Nous ne pouvons pas mettre à jour ces machines car, dès que nous les mettons à jour, surveillons les pannes de logiciels en raison d'une condition de course qui ne figure pas dans l'ancienne version du système d'exploitation. Le gouvernement local ne peut valider que la nouvelle version du logiciel de surveillance lorsque l'usine est en panne, et l'usine n'est normalement que vers le bas lorsque tous nos clients sont en panne. Tous nos clients ne sont normalement que descendants lorsque toutes les usines ont un arrêt de maintenance important. Ce qui est normalement une fois tous les 5 ans. [...] Donc, en raison de cette stupide bureaucratie, nous ne pouvons pas mettre à jour ces ordinateurs et, par conséquent, ils ne sont pas connectés à Internet et n'ont pas de ports USB accessibles. Ils ne sont que sur un réseau interne qui peut atteindre les automates ", a écrit C10H15N1. Maintenant, pour résoudre le problème, C10H15N1 a demandé à l'opérateur de tirer la fiche d'alimentation sur les ordinateurs alimentant le système de surveillance, puis de les relancer, et appuyez sur la combinaison de touches pour commencer à la réinstaller à partir d'une image réseau.
Une fois que l'opérateur a terminé la ré-image du système; C10H15N1 pensait que le cauchemar était fini, mais il savait qu'il ne s'agissait que du début. Soudainement, l'un des systèmes ciblés a commencé à être infecté et à afficher de nouveau le même message d'erreur. L'opérateur a demandé à C10H15N1 s'il peut prendre du café et est allé directement à la machine à café, mais est revenu les mains vides et a révélé qu'il ne pouvait pas prendre du café parce que la machine à café affichait le même message d'erreur que les ordinateurs. C'est alors que C10H15N1 s'est rendu compte de ce qui s'est passé et a expliqué que: "Si longtemps, les machines à café sont censées être connectées à leur propre réseau WiFi isolé. Cependant, la personne installant la machine à café a connecté la machine au réseau de la salle de contrôle interne, puis, lorsqu'il n'a pas eu accès à Internet, se souvenait de la connecter au réseau WiFi isolé. L'opérateur nous a contacté au sujet de son système de surveillance qui ne fonctionnait pas mais a oublié de mentionner que les machines à café présentaient la même erreur ". Par conséquent, il a été découvert que c'était l'erreur de la société externe responsable de la gestion de sa machine à café. C10H15N1 a écrit une lettre mordante à l'entreprise qui a rapidement réglé le problème. C'est une leçon pour ceux qui travaillent dans des installations sensibles de vérifier toujours quel périphérique est connecté à quelle connexion. Et pour être honnête, qui a besoin d'une machine à café connectée à Internet? Mais alors, quand nous avons des dildos intelligents, alors pourquoi blâmer les machines à café intelligentes de toute façon?
Traduit par Dr.Mo7oG depuis :