Un journaliste norvégien a fait sensation en démontrant que sans compétence il est possible de pirater des centaines d'objets connectés.
Espen Sandli, journaliste au Dagbladet, s'est simplement appuyé sur un moteur de recherche des objets connectés pour tenter d'accéder à des caméras de sécurité sur la toile. Il a pu ainsi prendre le contrôle d'une première caméra de surveillance dans un nightclub.
Il va ensuite poursuivre son expérience, et découvrir que de nombreux systèmes industriels connectés sont sans protection. Il va ainsi pénétrer des systèmes de surveillance d'installations militaires pour entrer ou sortir impunément d'un immeuble. Et pirater le système d'une compagnie de train dont il a coupé le système d'alarme.
Dernier exploit, et comble de la dérision, il va s'emparer d'une liste de clients et de leurs mots de passe sur le système d'information d'une entreprise de sécurité ! Et tout cela en disposant simplement d'un accès à Internet et de compétences limitées à l'usage bureautique d'un ordinateur.
Il suffit d'un moteur de recherche !
Point commun entre tous ces piratages basiques : Espen Sandli a exploité le moteur de recherche Shodan, qui référencie des informations sur les objets connectés, comme l'adresse IP, le modèle, son système d'exploitation, et même sa géolocalisation. Ces objets sont connectés à Internet, en particulier des caméras de vidéo surveillance. Et ils n'étaient pas protégés par des mots de passe.
Un simple click sur un lien proposé par Shodan permet d'accéder au portail qui pilote l'objet. Et parfois de constater qu'il n'y a pas de protection contre l'intrusion en accédant directement au produit sans qu'il lui soit proposé d'enregistrer ses identifiants.
Promu à un grand avenir, l'Internet des objets a aussi sa face cachée…