Martin DebrunneCet été, un employé de Google a piraté l’entrée des bureaux de son entreprise à Sunnyvale (Etats-Unis). Le pirate est parvenu à ouvrir les portes sans la carte-clé RFID nécessaire, mais il a aussi pris le contrôle des autorisations d’accès au bâtiment.
Cet épisode repose la question de la sécurité des objets connectés. En juillet dernier, un pirate s’est introduit dans les locaux de Google à Sunnyvale en Californie (Etats-Unis). David Tomaschik n’a pas eu besoin de la carte-clé RFID pour ouvrir la porte. Cet employé de Google voulait ainsi démontrer la vulnérabilité du système, rapporte Forbes.
Pas de messages aléatoires
L’employé s’est servi d’une faille dans les produits de la firme Software House, qui gère la sécurité du bâtiment. David Tomaschik s’est penché sur les messages que les appareils iStar Ultra et IP-ACM envoyaient sur le réseau Google. Il s’est aperçu que ces éléments n’avaient rien d’aléatoire, contrairement aux usages en matière de cybersécurité.
En poursuivant ses investigations, David Tomaschik a constaté que la clé de chiffrement était « écrite en dur » dans le code. Il lui a suffi de la copier pour imiter des commandes légitimes. L’employé devenu hacker a pu déverrouiller le système de sécurité à sa convenance. D’après lui, il aurait également pu empêcher l’ouverture des portes s’il l’avait voulu.
Aucune trace de son passage
Plus grave encore, David Tomaschik a constaté qu’il pouvait opérer sans laisser de trace. L’employé a fait remonter ses observations auprès de la direction. Cette affaire s’annonce embarrassante pour le géant du web. D’après un porte-parole de Google, il n’y aurait pas de preuve que les portes aient déjà été piratées par un logiciel malveillant.
Depuis l’incident, l’entreprise a décidé de segmenter son réseau. Cette parade permettrait de protéger les systèmes vulnérables encore présents entre ses murs. De son côté, la société Software House a modifié son système. La carte iStar v2 chiffre désormais le transport des commandes via TLS. Une manière de rappeler l’importance de la cybersécurité !
