Dans le cadre de la conférence Segurinfo Argentina 2019, tenue à Buenos Aires, l'évangéliste de la sécurité d'ESET Tony Anscombe a donné une conférence sur les bâtiments connectés (ou intelligents), dans laquelle il a expliqué les risques de sécurité associés aux bâtiments intelligents. Allons droit au but de sa présentation.
Dans des pays comme les États-Unis, on estime que la croissance des bâtiments intelligents atteindra 16,6 % d'ici 2020 par rapport à 2014. Cette expansion ne se limite pas aux États-Unis, mais s'opère à l'échelle mondiale. Cette croissance est due en grande partie au fait que nous vivons dans un monde de plus en plus imprégné de technologie, dans lequel l'automatisation des processus et la recherche de l'efficacité énergétique contribuent non seulement à la durabilité, mais aussi à la réduction des coûts - un objectif poursuivi dans toutes les industries, tant publiques que privées. Naturellement, l'industrie de la construction ne fait pas exception à la règle.
Les bâtiments intelligents utilisent la technologie pour contrôler un large éventail de variables dans leurs environnements respectifs dans le but de fournir plus de confort et de contribuer à la santé et à la productivité des personnes qui y vivent. Pour ce faire, ils utilisent ce que l'on appelle des systèmes d'automatisation du bâtiment (ou BAS, pour Building Automation Systems). Avec l'arrivée de l'Internet des objets (IdO), les bâtiments intelligents se sont redéfinis. Grâce aux informations qu'ils obtiennent des capteurs intelligents, leurs équipements technologiques sont utilisés pour analyser, prédire, diagnostiquer et maintenir les différents environnements qui les composent, ainsi que pour automatiser les processus et surveiller de nombreuses variables opérationnelles en temps réel. La température ambiante, l'éclairage, les caméras de sécurité, les ascenseurs, le stationnement et la gestion de l'eau ne sont que quelques-uns des services automatisables actuellement pris en charge par cette technologie qu’est la domotique.
Pour mettre en perspective les possibilités de cette infrastructure intelligente, Tony a donné l'exemple d'un hôtel à Las Vegas où, il y a deux ans, on a décidé d'installer un système d'automatisation sophistiqué pour contrôler l'utilisation de la climatisation (sachant que Las Vegas a un climat désertique chaud et très peu de pluie). La climatisation s’ouvre donc uniquement quand il y a du monde. Cette décision a permis à cet hôtel d'économiser 2 millions de dollars américains au cours de la première année suivant l'installation du système intelligent, grâce à la réduction de la consommation d'énergie obtenue grâce à l'automatisation du processus. Les Hôtels Marriott ont mis en place un système similaire à l’échelle de l'ensemble de la chaîne, qui devrait générer des économies d'énergie estimées à 9,9 millions de dollars américains.
Un autre exemple d'automatisation par le biais d'appareils intelligents présenté par Tony est celui utilisé par un supermarché du Royaume-Uni. Le magasin a installé un système intelligent dans son stationnement, qui génère de l'énergie cinétique à partir du mouvement des voitures qui le traversent, puis utilise cette énergie pour alimenter les caisses.
À première vue, on pourrait croire que ces technologies ne posent aucun risque de sécurité pour ces bâtiments intelligents. Cependant, il est probable que, à un moment ou un autre, l'ensemble du réseau intelligent soit connecté à une seule base de données. C'est là que réside le risque. Surtout si l'on considère que les dispositifs de l’IdO sont généralement fabriqués par des fournisseurs différents, qui n'ont peut-être pas accordé l'attention voulue aux considérations de sécurité lors de leur conception et de leur fabrication. Et, même si beaucoup d'entre nous pensent que nous ne vivrons jamais dans un bâtiment comme celui-ci, Tony a noté qu'« il est probable que beaucoup de gens qui ne vivent pas dans un bâtiment avec ces caractéristiques le feront à un moment donné », puisque le marché des bâtiments intelligents qui utilisent l'IdO est en pleine croissance.
Probabilité que des bâtiments intelligents soient attaqués
Le risque qu'un incident de sécurité se produise dans un bâtiment intelligent est lié aux motivations des cybercriminels, qui cherchent principalement à réaliser des gains économiques par leurs actions, à avoir un impact ou à répandre la peur.
Il existe déjà des outils tels que Shodan, qui permettent à quiconque de découvrir des dispositifs IoT vulnérables ou non sécurisés qui sont publiquement connectés à Internet. Comme Tony l'a expliqué, si vous effectuez une recherche à l'aide de cet outil, vous pouvez trouver des milliers de systèmes d'automatisation du bâtiment dans ses listes, ainsi que des informations qui pourraient être utilisées par un attaquant pour compromettre un appareil. En février 2019, environ 35 000 systèmes domotiques apparaissaient sur Shodan, à la portée du public mondial via Internet.
Cela signifie que quelqu'un pourrait prendre le contrôle d'un BAS après l'avoir trouvé grâce à une recherche. Si, par exemple, un criminel utilise Shodan pour rechercher des systèmes d'automatisation du bâtiment à attaquer, il trouvera des adresses IP. S'ils copient ces adresses IP dans la barre d'adresse d'un navigateur Web, dans de nombreux cas, une interface s'affichera pour y accéder, où ils devront entrer un nom d'utilisateur et un mot de passe. Si le mot de passe est un mot de passe par défaut ou s'il peut être facilement piraté par une attaque brutale, l'attaquant aura accès au panneau de surveillance du système, qui contient des informations similaires aux détails visibles par les entreprises situées dans le bâtiment intelligent.
Ainsi, l’attaquant peut obtenir accès à cette information publique et peut surveiller, par exemple, le fonctionnement de la climatisation. À ce moment, il peut passer un appel téléphonique en prétendant être de la compagnie de maintenance et dire qu'il va envoyer un technicien parce qu'il a remarqué que les ventilateurs fonctionnent à pleine puissance. En même temps, l'attaquant pourrait demander un accès à distance, ce qui lui donnerait accès au serveur et lui permettrait de contrôler le bâtiment. Une fois qu'il en a le contrôle, il peut modifier les systèmes de chauffage ou de climatisation de l'immeuble, ou ajuster le mode de fonctionnement de tout autre système automatisé, puis exiger le paiement d'une rançon en utilisant un système qui leur permet de rester anonymes, comme un paiement en cryptomonnaie, en échange de quoi il s’engage à ne pas rendre l'immeuble non-fonctionnel ou inaccessible.
Siegeware : Une menace bien réelle
Dans ce récent article, le Chercheur sénior en sécurité d’ESET Stephen Cobb souligne que ce type d'attaque n'est pas un événement isolé. Après qu'il eut demandé de l'aide aux autorités à la suite d'un tel incident, à sa grande surprise, elles lui ont répondu : « On a déjà vu ça avant. » En d'autres termes, les cybercriminels mènent déjà de telles attaques lorsqu'ils en ont l'occasion. Stephen définit succinctement ce type d'attaque comme siegeware, c’est-à-dire « la capacité codée de faire une demande crédible d’extorsion basée sur une fonctionnalité de bâtiment numérique déficiente. »
En conclusion, le faible coût des dispositifs d'IdO pour les bâtiments et les progrès de la technologie des systèmes d'automatisation des bâtiments entraînent des changements ayant un impact sur la sécurité. Cette tendance à l'automatisation et à l'utilisation d'appareils intelligents pour recueillir des données - afin d'offrir plus de confort aux utilisateurs d'un bâtiment et d'utiliser plus efficacement des ressources comme l'énergie - entraîne également des risques accrus pour la sécurité. Par conséquent, la possibilité qu'un cybercriminel lance une attaque de rançongiciel contre un bâtiment intelligent est déjà une réalité.
Considérations à garder à l'esprit
Tony Anscombe a terminé sa présentation en mentionnant un certain nombre de considérations et d'exigences en matière de sécurité dont il faut tenir compte :
- Revoir les spécifications de sécurité des dispositifs et travailler sur la base du concept de « sécurité dès la conception » (security by design
- Établir un budget approprié pour la sécurité
- Choisir des partenaires qui connaissent les questions de sécurité
- Installer un logiciel pour gérer les vulnérabilités
- Assurer la coopération entre les différents domaines et départements.
Il a également présenté un ensemble de recommandations relatives aux questions opérationnelles :
- Mettre les appareils à jour régulièrement
- Mettre en œuvre un plan de remplacement pour la fin du cycle de vie des appareils
- Exercer la précaution à l'égard des dispositifs connectés
- Surveiller les appareils connectés.
Lectures complémentaires
Siegeware : quand les criminels s’emparent de votre bâtiment intelligent