Imaginez un instant le chaos que causerait un embouteillage monstre, orchestré à distance par des cybercriminels… C’est malheureusement le scénario cauchemardesque rendu possible par les failles de sécurité découvertes récemment dans certains contrôleurs de feux tricolores. Andrew Lemon, chercheur chez Red Threat, tire la sonnette d’alarme sur ces vulnérabilités critiques qui exposent nos villes à des attaques inédites.
Des interfaces web grand ouvertes aux quatre vents
Le problème soulevé par Andrew Lemon réside dans l’absence totale d’authentification sur les interfaces web de certains contrôleurs, comme l’Intelight X-1. N’importe qui peut ainsi prendre le contrôle des feux et manipuler leur temporisation. Si un hacker mal intentionné décidait de donner la priorité à une voie pendant des minutes interminables, provoquant des ralentissements monstres sur les autres, imaginez un peu la pagaille en ville aux heures de pointe !
Vous pouvez toujours modifier les feux et leur temporisation. Donc si vous voulez mettre la temporisation à trois minutes dans un sens et trois secondes dans l’autre. Fondamentalement, c’est un déni de service dans le monde physique, donc vous pourriez paralyser la circulation.
– Andrew Lemon, chercheur chez Red Threat
Q-Free nie le problème et menace de poursuites
Plutôt que de prendre le taureau par les cornes et de corriger rapidement le problème, Q-Free, propriétaire d’Intelight, a préféré envoyer une lettre comminatoire au chercheur. Le constructeur refuse de considérer le problème sous prétexte que le modèle analysé n’est plus commercialisé. Pire, il menace Andrew Lemon et Red Threat de poursuites pour avoir publié leurs résultats !
Contrairement à vos objectifs déclarés d’améliorer la cybersécurité, la publication de vulnérabilités peut encourager les attaques contre les infrastructures et générer une responsabilité associée pour Red Threat.
– Steven D. Tibbets, conseiller juridique de Q-Free, dans une lettre à Red Threat
Des failles aussi dans le protocole standard NTCIP
Mais les problèmes ne se limitent pas à un seul fabricant. Andrew Lemon a aussi identifié des failles dans le protocole NTCIP, utilisé par de nombreux contrôleurs comme ceux d’Econolite. Via les appareils exposés sur internet, un attaquant pourrait changer les paramètres sans même avoir besoin de s’authentifier. Il pourrait par exemple faire clignoter tous les feux d’un carrefour simultanément, semant la confusion chez les automobilistes.
L’heure de prendre la menace au sérieux
Si les équipementiers se retranchent derrière l’obsolescence de certains modèles, il est grand temps de prendre la mesure de ces risques émergents. Avec la multiplication des objets connectés déployés dans l’espace public pour rendre nos villes plus « intelligentes », c’est toute la sécurité de nos infrastructures critiques qu’il faut repenser de toute urgence :
- En sécurisant les protocoles de communication et en imposant une authentification forte
- En cloisonnant les réseaux pour éviter toute exposition directe sur internet
- En sensibilisant les opérateurs aux bonnes pratiques de cybersécurité
Il en va de la résilience de notre société numérique face à des menaces grandissantes. La cybercriminalité n’épargne plus le monde physique, il est vital d’adapter nos infrastructures en conséquence. Espérons que la piqûre de rappel d’Andrew Lemon incitera les acteurs à passer à la vitesse supérieure pour colmater ces brèches béantes, avant qu’il ne soit trop tard…
