Les problèmes de sécurité rencontrés dans les équipements médicaux et les voitures compatibles avec Internet ces dernières années ont sensibilisé beaucoup aux risques pour la sécurité publique des appareils connectés. Mais ce ne sont pas seulement les outils de sauvetage et les véhicules rapides qui posent des dommages potentiels.

Un groupe de chercheurs en sécurité a découvert des vulnérabilités dans les lave-autos connectés à Internet qui permettraient aux pirates de détourner à distance les systèmes pour attaquer physiquement les véhicules et leurs occupants. Les vulnérabilités laisseraient un attaquant ouvrir et fermer les portes de la baie d’un lave-auto pour piéger les véhicules à l’intérieur de la chambre, ou les frapper avec les portes, les endommageant et éventuellement blessant les occupants.

« Nous pensons que c’est le premier exploit d’un appareil connecté qui amène l’appareil à attaquer physiquement quelqu’un », a déclaré Billy Rios, le fondateur de Whitescope security, à Motherboard. Rios a mené la recherche avec Jonathan Butts de QED Secure Solutions. Ils prévoient de discuter de leurs conclusions cette semaine lors de la conférence sur la sécurité de Black Hat à Las Vegas.

Rios, travaillant parfois seul et avec des collègues, a exposé de nombreux problèmes de sécurité au fil des ans dans les pompes à perfusion de médicaments qui délivrent les médicaments aux patients hospitalisés; dans les machines à rayons X des aéroports conçues pour détecter les armes; et dans les systèmes de construction qui contrôlent les serrures électroniques des portes, les systèmes d’alarme, les lumières, les ascenseurs et les caméras de vidéosurveillance.

Un attaquant peut envoyer une commande instantanée pour fermer une ou les deux portes pour piéger le véhicule à l’intérieur, ou ouvrir et fermer une porte à plusieurs reprises pour frapper le véhicule plusieurs fois alors qu’un conducteur tente de fuir.

Cette fois, il s’est concentré sur le LaserWash PDQ, un système de lavage de voiture entièrement automatisé, sans balai et sans contact qui pulvérise l’eau et la cire à travers un bras mécanique qui se déplace autour d’un véhicule. Les lave-autos PDQ sont populaires aux États-Unis car ils ne nécessitent pas de préposés pour fonctionner. De nombreuses installations ont des portes de baie à l’entrée et à la sortie qui peuvent être programmées pour s’ouvrir et se fermer automatiquement au début et à la fin d’une journée, et un menu tactile qui permet aux conducteurs de choisir leur forfait de nettoyage sans interagir avec les travailleurs.

Les systèmes fonctionnent sous Windows CE et disposent d’un serveur Web intégré qui permet aux techniciens de les configurer et de les surveiller sur Internet. Et c’est là que réside le problème.

Rios dit qu’il s’est intéressé aux lavages de voiture après avoir entendu un ami parler d’un accident survenu il y a des années lorsque des techniciens en ont mal configuré un de manière à ce que le bras mécanique heurte une fourgonnette et étouffe la famille à l’intérieur avec de l’eau. Le conducteur a endommagé le véhicule et le lave-auto en accélérant rapidement pour s’échapper.

Un voyage réussi à travers le lave-auto. Les chercheurs n’ont pas pu obtenir l’autorisation de publier une vidéo du piratage des propriétaires de lave-auto.

Rios et McCorkle ont examiné le logiciel PDQ il y a deux ans et ont présenté leurs conclusions sur les vulnérabilités lors du Sommet sur la sécurité de Kaspersky au Mexique en 2015. Bien qu’ils croyaient que les vulnérabilités leur permettraient de détourner un système, ils n’ont pas été en mesure de tester la théorie par rapport à un lave-auto réel jusqu’à cette année, lorsqu’une installation de l’État de Washington a accepté de coopérer, en utilisant la propre camionnette des chercheurs comme victime.

Bien que les systèmes PDQ nécessitent un nom d’utilisateur et un mot de passe pour y accéder en ligne, le mot de passe par défaut est facilement deviné, ont déclaré les chercheurs. Ils ont également trouvé une vulnérabilité dans la mise en œuvre du processus d’authentification, permettant de le contourner. Tous les systèmes PDQ ne sont pas en ligne, mais les chercheurs en ont trouvé plus de 150, en utilisant le moteur de recherche Shodan qui recherche des appareils connectés à Internet, tels que des webcams, des imprimantes, des systèmes de contrôle industriels et, dans ce cas, des lave-autos.

Ils pouvaient également manipuler le bras mécanique pour frapper le véhicule ou cracher de l’eau en continu, ce qui rendait difficile la sortie de la voiture d’un occupant pris au piège.

Ils ont écrit un script d’attaque entièrement automatisé qui contourne l’authentification, surveille le moment où un véhicule s’apprête à sortir de la chambre de lavage et provoque la frappe de la porte de sortie du véhicule au moment opportun. Tout ce qu’un attaquant a à faire est de choisir l’adresse IP du lave-auto qu’il souhaite attaquer, puis de lancer le script. Le logiciel du lave-auto suit où se trouve un lave-auto dans son cycle, ce qui permet de savoir facilement quand le lavage est sur le point de se terminer et quand un véhicule doit sortir. Un attaquant peut envoyer une commande instantanée pour fermer une ou les deux portes pour piéger le véhicule à l’intérieur, ou ouvrir et fermer une porte à plusieurs reprises pour frapper le véhicule plusieurs fois alors qu’un conducteur tente de fuir.

Bien que les capteurs infrarouges détectent quand quelque chose se trouve sur le chemin d’une porte pour éviter que cela ne se produise, les chercheurs ont pu faire en sorte que le système ignore les capteurs. Ils pourraient également manipuler le bras mécanique pour frapper le véhicule ou cracher de l’eau en continu, ce qui rend difficile la sortie de la voiture pour un occupant pris au piège. Ils n’ont pas essayé cela lors de leurs tests en direct, cependant, pour éviter d’endommager le bras.

Un mécanisme de sécurité logiciel empêche le bras de heurter un véhicule normalement, mais ils ont également pu le désactiver.

« Si vous comptez uniquement sur la sécurité des logiciels, cela ne fonctionnera pas s’il y a un exploit en jeu », a déclaré Rios dans une interview. « La seule chose qui va fonctionner, ce sont les mécanismes de sécurité du matériel. »

Bien que les chercheurs aient filmé les tests avec un téléphone portable, le propriétaire du lave-auto ne les laissera pas publier la vidéo.

Ce n’est pas la première fois que quelqu’un détourne un système robotique. En mai, des chercheurs de Trend Micro ont montré comment ils pouvaient recalibrer un bras robotique utilisé dans les usines de fabrication pour modifier son mouvement. Mais l’attaque du lave-auto a « un impact potentiel plus large pour les masses », a déclaré Rios. « Il n’y a pas vraiment beaucoup de choses are qui sont dans l’espace public and et qui peuvent vous frapper. »

Les chercheurs ont rapporté leurs résultats au Département de la Sécurité intérieure et au vendeur et publient un rapport cette semaine en conjonction avec leur discours sur le chapeau noir.

Un porte-parole de PDQ a déclaré à Motherboard dans un e-mail qu’il était « au courant » du discours de Black Hat et qu’il travaillait à enquêter et à résoudre les problèmes de sécurité du système.

« Tous les systèmes, en particulier ceux connectés à Internet, doivent être configurés avec la sécurité à l’esprit », a écrit Gerald Hanrahan du PDQ. « Cela inclut de s’assurer que les systèmes sont derrière un pare-feu réseau et de s’assurer que tous les mots de passe par défaut ont été modifiés. Notre équipe de support technique est prête à discuter de ces problèmes avec n’importe lequel de nos clients. »

Recevez chaque jour six de nos histoires préférées sur la carte mère en vous inscrivant à notre newsletter.