Les pirates peuvent pénétrer dans de nombreux types de périphériques de bureau, pas seulement des ordinateurs – Bien choisir son serveur d impression

Votre téléphone au bureau, l’imprimante, le système de contrôle technique du bâtiment – cela peut ne pas sembler être un ordinateur, mais ils peuvent tous être piratés, d’après les professionnels de la cybersécurité.

"C’est probablement la menace de cybersécurité la plus importante à laquelle nous sommes confrontés aujourd’hui, car ces ordinateurs contrôlent chaque aspect de notre infrastructure critique sur laquelle nous dépendons au quotidien", a déclaré Ang Cui, PDG de Red Balloon, une entreprise de cybersécurité basée à New York. qui se spécialise dans la sécurité des appareils.

Ces périphériques contiennent ce qu’on appelle des ordinateurs intégrés – des microprocesseurs qui utilisent un logiciel pour exécuter des commandes simples.

"Un ordinateur intégré est quasiment tout ce qui n'est pas un ordinateur portable, un serveur ou un ordinateur de bureau", a déclaré Cui.

Les ordinateurs embarqués se retrouvent dans les appareils intelligents pour la maison, les équipements médicaux, les voitures, les échanges financiers, les centrales électriques, etc.

Les entreprises ont été compromises par des ordinateurs intégrés. La violation de données de 2013 par Target est survenue après l'installation d'un logiciel malveillant sur son système de point de vente, qui intègre des périphériques intégrés. Depuis la violation, Target déclare avoir pris des mesures, notamment en développant des outils de gestion des points de vente et en déclassant l'accès des serveurs au serveur concerné par la violation.

"[The breach] Cui a déclaré: "Celles-ci sont loin d'être les seules à devoir se remettre d'un événement de ce type", a déclaré Cui.

Le marché des appareils embarqués ne ralentit pas. Selon Radiant Insights, une société d’études de marché, le marché devrait atteindre plus de 214 milliards de dollars d’ici 2020.

Le nombre d'appareils est également à la hausse.

"Selon la plupart des gens, nous aurons environ 20 à 25 milliards d'appareils embarqués dans environ 15 ans", a déclaré Cui. "C’est évidemment plus d’un appareil intégré par personne sur cette planète."

La montée en puissance des appareils intégrés crée un avantage de marché pour certaines entreprises. HP est le plus grand fabricant d’imprimantes contenant des périphériques intégrés. La société annonce qu'elle fabrique les imprimantes les plus sécurisées au monde.

Selon Shivaun Albright, technologue en chef de la sécurité de l'impression chez HP, HP n'a pas formulé cette affirmation à la légère.

«Historiquement, les imprimantes sont l’un des… dispositifs les plus courants», a-t-elle déclaré. "Nous voulons réduire les risques de sécurité autant que possible."

Néanmoins, Albright admet que des vulnérabilités peuvent survenir. "Je ne pense pas qu'une société puisse prétendre ne pas avoir de bugs."

C'est quelque chose que l'équipe Red Balloon sait bien. La société teste les périphériques en vérifiant s’ils peuvent s’immiscer. Selon Cui, 100% des périphériques qu’ils peuvent tester peuvent être compromis d’une manière ou d’une autre.

Plus tôt cette année, Red Balloon a découvert une vulnérabilité critique dans des millions de périphériques fabriqués par Cisco. L’équipe a annoncé la découverte en mai après avoir informé Cisco.

"La plupart des fournisseurs avec lesquels nous travaillons sont très disposés à obtenir des informations sur les vulnérabilités et à résoudre rapidement ces problèmes", a déclaré Cui.

Cisco a publié un avis critique après avoir pris connaissance de la vulnérabilité.

"Cisco est attaché à la transparence. Lorsque des problèmes de sécurité se posent, nous les traitons ouvertement et en priorité, afin que nos clients comprennent le problème et sachent le résoudre", a déclaré un porte-parole de Cisco dans un communiqué envoyé à CNBC. "[Cisco] n'est au courant d'aucune utilisation malveillante de la vulnérabilité décrite dans cet avis. Cisco publiera des correctifs pour cette vulnérabilité. "

Red Balloon a organisé une démonstration pour permettre à CNBC de pirater un téléphone de bureau, un écran d'ordinateur et un contrôleur d'immeuble afin d'accéder aux ventilateurs contrôlant le flux d'air. Selon Cui, les attaquants pourraient lancer des attaques similaires n'importe où dans le monde.

L’équipe a obligé le ventilateur à changer de direction, ce qui pourrait forcer l’air dangereux à pénétrer dans les salles blanches. Ils ont ensuite été en mesure de faire fumer le ventilateur en fumée en changeant la direction dans laquelle le ventilateur soufflait plusieurs fois rapidement. Les changements rapides ont provoqué une surchauffe du ventilateur.

Red Balloon a simulé la modification d'un système de surveillance d'usine en piratant l'écran. Un opérateur regardant le système penserait que quelque chose a mal tourné

"Il y a au moins trois ordinateurs différents à l'intérieur du moniteur que nous pouvons pirater", a déclaré Cui.

La plupart des téléphones de bureau contiennent des ordinateurs, notamment des téléphones IP (Internet Protocol), qui envoient des appels vocaux sur des réseaux de données.

"Si vous voyez un téléphone assis sur votre bureau, il y a des chances pour qu'il y ait un processeur assez puissant fonctionnant sous un système d'exploitation complet. Et ce téléphone est essentiellement un ordinateur polyvalent enfoncé dans un étui en plastique qui lui donne l'apparence d'un téléphone, "Cui a dit.

Red Balloon a présenté un piratage d'un téléphone Cisco afin de pouvoir écouter tout ce qui se dit.

"Nous pouvons confirmer que des solutions de contournement et un correctif logiciel ont été mis à disposition en novembre 2014 pour remédier à cette vulnérabilité. Une exploitation réussie nécessite un accès physique au port série du périphérique, ou la combinaison de privilèges d'authentification à distance et de paramètres de périphérique non définis par défaut", a déclaré un porte-parole de Cisco. a déclaré en partie lorsqu'on lui a posé des questions sur la vulnérabilité.

Cui a déclaré que les vulnérabilités existaient dans d'autres marques de téléphones, moniteurs et contrôleurs de bureau et que celles qu'il nous avait montrées n'étaient que des exemples.

"Nous avons découvert une vulnérabilité dans chaque téléphone IP que nous avons ouvert", a déclaré Cui. "Chaque fois que nous regardons un téléphone IP, nous trouvons un moyen de le pirater."

CNBC a contacté d'autres leaders de l'industrie pour savoir ce qu'ils faisaient pour protéger leurs appareils.

Outre les imprimantes, HP fabrique des moniteurs d’ordinateur et d’autres périphériques.

"HP au cœur, nous concevons avec le souci de la sécurité", a déclaré Andy Rhodes, directeur général et responsable mondial du secteur des ordinateurs commerciaux. "Nous utilisons également ce que nous appelons des primes de bogues. Nous payons en fait des pirates éthiques pour essayer de pénétrer dans nos systèmes afin de déterminer leur degré de sécurité."

La société de télécommunications chinoise Huawei n’a pas répondu à notre demande de commentaire.

Le meilleur conseil pour les entreprises qui s’inquiètent pour la sécurité des périphériques intégrés est de contacter les fabricants de périphériques.

"Allez vous plaindre aux personnes qui rendent ces choses peu sûres. Et si suffisamment d'entre nous le faisons et soulèvent cette préoccupation encore et encore, nous inciterons les fabricants de ces choses à fabriquer un produit plus sûr", a déclaré Cui.

Les consommateurs jouent également un rôle, car certains appareils intégrés sont conçus pour un usage domestique.

"La meilleure chose à faire pour une personne moyenne est de soulever votre préoccupation concernant la sécurité avec chaque produit que vous achetez. Au lieu de… trouver le doo-papa de domotique intelligent le moins cher et le plus performant qui soit, posez-vous la question suivante: est-ce assez sûr? ", A déclaré Cui.