Ignorance

Date de publication : 20/04/2018  |  Auteur : D.K

Photo Joel Conesa/Flickr/Cc
Photo Joel Conesa/Flickr/Cc

Vendredi 13 avril 2018, un grand constructeur de système de contrôle d’accès envoyait un email à ses clients (et sans doute prospects puisque nous l’avons également reçu) pour les avertir de nouvelles fonctionnalités sur leur contrôleur de portes. Il suffisait de se rendre dans l’espace client, entrer un nom d’utilisateur et un mot de passe identiques (et simplissimes) et mettre à jour le firmware pour disposer des nouvelles fonctions. Décidément, il existe un fossé (un gouffre, même !) entre les « gens de la sécurité physique » et « les gens de la sécurité numérique ». Il y a ceux qui privilégient l’usage et ne semblent pas bien comprendre comment fonctionne l’informatique et ceux qui ne voient pas toujours toutes les vulnérabilités, notamment celles qui passent par le physique. Cet email est copiable. Tout comme le site du fabricant qui peut être facilement aspiré et dupliqué. Une fois qu’on dispose du firmware, on peut le modifier. Ce n’est pas un problème. Il suffit ensuite d’acheter un nom de domaine proche, refaire un email, l’adresser à un contact dont on sait qu’il possède ce type de contrôleur d’accès. Et entrer ! On dira : « c’est de la science-fiction ! » C’est exactement ce qu’ont dû se dire TV5 Monde, Yahoo, Uber ou Target. Faut-il rappeler que dans ce dernier cas, c’est le logiciel servant à la maintenance de la climatisation qui a permis d’entrer ? Alors, imaginez, un système de contrôle des accès ! Et ne parlons pas non plus des caméras de vidéosurveillance utilisées pour attaquer l’hébergeur OVH. Dans toutes ces attaques, les malveillants ont joué du fonctionnement en silos des entreprises. Pourtant le monde de la sécurité physique et celui de la sécurité logique ont en commun l’analyse des risques. Et une même mission : protéger les intérêts de l’entreprise. Il est temps que le monde de la sécurité physique se cultive en matière de numérique. Ou la sécurité lui échappera complètement.