De nouvelles recherches révèlent comment les appareils auxquels nous accordons la plus grande confiance peuvent nous trahir
Imaginez :
Nous sommes lundi matin. Vous venez d’arriver au bureau et recevez une invitation inattendue à une présentation confidentielle. Votre chef vous explique que seuls quelques employés ont été conviés. Lors de cette présentation, vous découvrirez une innovation qui pourrait bouleverser l’avenir de votre secteur. Vous jurez, à maintes reprises, de garder ces informations confidentielles.
Le jour J, un PowerPoint apparaît finalement à l’écran.
Le seul problème ?
Un hacker a obtenu et conservé l’accès au système de présentation WiFi utilisé. Il est assis à l’extérieur de la salle et assiste à l’exposé en temps réel.
Vulnérabilités détectées sur un système de présentation WiFi
Une nouvelle étude menée par l’équipe Hardware Security de F-Secure a révélé la présence de failles de sécurité sur les appareils ClickShare (des systèmes de présentation WiFi de Barco, très répandus en entreprises). Les hackers peuvent exploiter ces vulnérabilités pour intercepter des communications, voler des informations ou répandre des logiciels malveillants.
Après avoir constaté la grande popularité de ClickShare auprès des entreprises, Dmitry Janushkevich, consultant senior chez F-Secure, a choisi de mener quelques recherches avec ses collègues de F-Secure Consulting.
Dmitry et son équipe ont mené ces travaux de manière intermittente, en parallèle d’autres projets. Le 9 octobre 2019, F-Secure a contacté Barco pour lui communiquer les failles de sécurité découvertes.
« Ces défauts de conception constituent, pour les hackers, un moyen rapide et pratique de pirater une entreprise. Les professionnels doivent connaître les risques encourus », explique Dmitry.
Dmitry et ses collaborateurs ont publié les résultats de cette recherche sur F-Secure Labs.
Ci-dessous, vous trouverez quelques exemples concrets illustrant comment un hacker peut utiliser ces failles informatiques contre des entreprises.
Intercepter les communications du système
Les hackers peuvent exploiter le logiciel du système et les paramètres Wi-Fi par défaut pour intercepter et manipuler les communications. De cette manière, ils peuvent voir et modifier les présentations en cours, en temps réel.
Le système n’est alors plus en mesure de présenter les renseignements confidentiels de l’entreprise en toute sécurité.
Modifier les paramètres Wi-Fi peut compliquer le travail du hacker. Toutefois, il lui sera toujours possible de mener son attaque s’il peut accéder physiquement aux boutons ClickShare appariés.
Pirater les systèmes des utilisateurs
S’il dispose d’un accès physique au système, comme dans le cas d’un centre de conférence ou d’une salle de réunion, un hacker pourra exploiter les failles de sécurité des boutons ClickShare (la partie du système que les utilisateurs branchent aux ports USB de leur ordinateur) pour pirater les appareils des utilisateurs.
Si cette attaque est exécutée avec succès, les professionnels seront exposés de multiples dangers, notamment le vol de mots de passe ou l’exposition à des logiciels malveillants.
Mesures de correction et recommandations
F-Secure et Barco ont collaboré afin de révéler ensemble les vulnérabilités découvertes. Barco vient de publier une mise à jour. Cependant, plusieurs de ces défauts de conception sont liés à des composants matériels et nécessitent donc une intervention physique. Il est peu probable qu’ils soient corrigés.
« Cette étude montre à quel point il est difficile de sécuriser les appareils intelligents. Les bugs – qu’ils concernent le hardware, la conception ou le logiciel embarqué – ont des effets négatifs à long terme sur les fournisseurs et sur les utilisateurs. Ils sapent la confiance que nous accordons à ces dispositifs », explique Janushkevich.
Les appareils intelligents posent de nombreuses difficultés. Les entreprises peuvent toutefois prendre des mesures. Dans le cas présent, F-Secure recommande aux organisations concernées d’appliquer tous les correctifs proposés par Barco, y compris les récentes mises à jour logicielles. La modification des mots de passe par défaut constitue également une mesure de sécurité essentielle permettant de sécuriser davantage ce type de périphérique connecté.
Souvent, les entreprises ne contrôlent pas suffisamment l’accès physique à leurs locaux et à leurs appareils. L’accès physique offre pourtant aux hackers de nombreuses possibilités de piratage. La sécurité des contrôles d’accès peut être testée grâce à des évaluations de Red Teaming (c’est en réalisant ce type d’évaluation que Dmitry et ses collègues de F-Secure Consulting ont décidé de débuter cette recherche) : le Red Teaming permet aux entreprises de détecter les failles dans leur protection avant que des hackers ne les exploitent.
Catégories