23 failles découvertes dans une clé à molette connectée
Des chercheurs de la société Nozomi ont publié récemment un article qui explique qu'ils ont découvert 23 failles critiques dans une clé à molette connectée, un modèle de chez Rexroth, une filiale de Bosch.
Si l'information peut sembler amusante au premier abord et qu'il est facile de sauter dans les commentaires pour se moquer des gens qui ont besoin de connecter tout et n'importe quoi (ne niez pas, nous vous avons vu), ce n'est pas aussi simple : la Handheld Nutrunner NXA015S-B n'est pas un accessoire à la mode acheté sur une place de marché asiatique quelconque, mais une clé dynamométrique pneumatique professionnelle vendue aux alentours de 14 000 €. L'article de Nozomi explique donc pourquoi les failles sont dangereuses.
Il s'agit d'un modèle très haut de gamme, employé notamment dans l'industrie automobile outre-Rhin. L'appareil dispose d'un écran et peut se connecter en Wi-Fi, pour communiquer avec un serveur. La clé à molette fonctionne même avec un OS dédié, NEXO-OS. Cette distribution GNU/Linux spécialisée va permettre d'intégrer le Nutrunner dans un réseau industriel, pour communiquer avec du matériel parfois très spécialisé, ainsi qu'afficher les données de l'appareil.
Dans les exemples donnés par Nozomi, le plus simple est évidemment la possibilité de bloquer complètement l'outil, avec un message indiquant le problème. En somme, une application concrète d'un ransomware, pour bloquer une chaîne de montage. Mais ils montrent aussi une attaque nettement plus vicieuse et potentiellement dangereuse : elle consiste à modifier les valeurs affichées sur l'écran, ce qui est totalement invisible pour la personne qui manipule l'outil. Cette dernière peut donc penser que le Nutrunner a bien fonctionné, même si — en réalité — les boulons sont trop serrés (ce qui peut amener des déformations) ou pas assez (vous imaginez le résultat).
Bosch Rexroth devrait proposer une version corrigée de l'OS de son appareil d'ici la fin du mois, mais en attendant, Nozomi recommande quelques solutions finalement assez basiques pour éviter les problèmes : il faut éviter de connecter un outil industriel de ce type à Internet, tenter de limiter au maximum les interactions possibles avec le réseau en cloisonnant les infrastructures et vérifier la liste des personnes ayant accès aux outils, étant donné qu'une partie des 23 failles nécessite un accès authentifié.
En effet pas amusant du tout !
Achetez Facom ! :)
@Leborde
Bonne remarque !
Très intéressant sujet. Merci.
Je m'étonne - qu'à moitié quand même - que l'OS basé sur GNU/Linux soit aussi vérolé que cela. Ce n'est pas très rassurant, d'une part parce qu'une part importante des objets connectés fonctionnent sous GNU/Linux, et de l'autre parce que les fabricants ne font rien, mais vraiment rien pour boucher les trous en amont. Faudra-t-il une catastrophe, des morts ou une intervention de la Commission européenne pour que les fabricants prennent leur responsabilité.
@Mac1978
> "Je m'étonne - qu'à moitié quand même - que l'OS basé sur GNU/Linux soit aussi vérolé que cela."
Et encore s’agit-il d’une entreprise dont le projet Open Core Engineering a été primé à plusieurs reprises.
Il faut remonter un bon bout pour voir comment la culture d’une entreprise jadis réputée pour l’extrême solidité et le soin du détail de ses outils a pu pâtir des affres du management moderne.
Rexroth, entreprise familiale fondée en 1795 ( ! ), a été reprise par Bosch en 2001 et regroupée avec la division d’automatisation de Bosch. Cette reprise d’un fleuron de l’outillage est la suite d’un des crimes économiques du tournant du siècle : l’OPA de Vodafone sur Mannesmann.
Vodafone ne s’intéressait qu’au secteur télécom de Mannesmann, et brisa menu le reste de l’entreprise. Or, Rexroth avait été acquis par Mannesmann en 1976, après une décennie de coopération.
C’est ainsi que Rexroth tomba dans l’escarcelle de Bosch. Qui entreprit de « moderniser » tout en réduisant les coûts, même là où ça fait mal, parce que ça la fout mal.
Revenons pour finir au désastre industriel Vodafone/Mannesmann : Vodafone paya 190 milliards EUR ( ! ) pour Mannesmann, ce qui est, je crois, un record. Surtout que de Mannesmann, brisé et écartelé par Vodafone, il ne reste plus rien, ou presque.
Drawing by numbers : connect the dots.
vous êtes un commentateur précieux.
@oomu
Oh que oui!!!
@oomu
Mais vous aussi…
@occam,
Merci encore et encore pour ce moment culturel inévitable qui nourrit jour après jour mes pauvres neurones affamés !
Puis-je ajouter ceci à votre démonstration :
https://www.lemoniteur.fr/article/buderus-geminox-et-loos-disparaissent-au-profit-de-la-marque-bosch.1059179
Ben depuis ce rachat, Buderus fondu dans Bosch, c'est pas brillant !
C'est pas de la bonne fondue comtoise, savoyarde ou bourguignonne !
😋
Je me demande même si j'aurais encore les pièces détachées de ma chaudière au fioul à condensation et à flamme bleue (18 bars il me semble).
Cela devait être trop performant et leur faire un peu de concurrence !
Merci Bosch pour votre contribution à atomiser les trop rares entreprises françaises de ce secteur !
😭
Pour faire un petit peu de publicité gratuite à Bosch, merci de ne pas oublier ceci :
https://www.lesechos.fr/2017/02/dieselgate-accuse-de-complicite-bosch-sen-tire-en-payant-3275-millions-de-dollars-160424
🥳😁
Tout ce qui contient des ligne de code contient des failles de sécurité. Ce qui m'inquiète c'est plutôt les marques chez qui on ne trouve pas de failles.👍
@ Bouledeneige
> Ce qui m'inquiète c'est plutôt les marques chez qui on ne trouve pas de failles
Ridicule. Dans la même logique :
Si votre médecin ne trouve rien chez vous alors que vous n'avez aucun symptôme et que vous vous sentez bien, vous devriez donc commencer à vous inquiéter.
@ occam
> Vodafone ne s’intéressait qu’au secteur télécom de Mannesmann, et brisa menu le reste de l’entreprise
Ah que c'est beau le capitalisme !
@Mac1978
Les raccourcis de Mme Michu sur GNU/Linux.
Ça n'a rien à voir avec GNU/Linux, l'OS aurait été sous Drawin ou FreeBDS le problème serait le même. Les mecs implémentent leur technologies, non sécurisée, c'est ça le vrai problème.
@Gwynpl@ine,
« Ça n'a rien à voir avec GNU/Linux, l'OS aurait été sous Drawin ou FreeBDS le problème serait le même. Les mecs implémentent leur technologies, non sécurisée, c'est ça le vrai problème. »
Pardon ai-je bien lu ce que vous avez écrit ?
Quand il y a un problème de sécurité (failles de sécurité) sur Mac OS ou Windows, on nous explique que c'est de la faute de l'éditeur de l'OS !
Quand c'est sur Linux, c'est la faute de l'éditeur du logiciel qui fonctionne dessus !
😁
Nimportnawak !
L'OS a en charge de faire fonctionner tous ses services et les logiciels de manière sécurisée !
D'ailleurs c'est l'un des arguments principaux de la supériorité de Linux régulièrement affirmé par ses supporters !
“Secured from day one” qu'ils disaient…
🙃
@Scooby-Doo
C'est pas l'OS qui est mis en cause, mais les services rajoutés par l'éditeur Nexotech. Dans tous les OS il y a des failles, GNU/Linux compris et tu peux compter sur des débiles pour en ajouter.
Documentation disponible : https://www.manualslib.com/manual/2038443/Bosch-Rexroth-Nexo.html#manual
@Scooby-Doo
Donnes moi n'importe quel OS et je mets ton dossier personnel en ligne accessible à tous.
Est-ce une faille?
Non, juste une commande python et 5 à 10 clics suivant les OS, histoire d'ouvrir un port.
@mimolette51,
« Donnes moi n'importe quel OS et je mets ton dossier personnel en ligne accessible à tous. Est-ce une faille? Non, juste une commande python et 5 à 10 clics suivant les OS, histoire d'ouvrir un port. »
Ce que vous décrivez n'est pas une faille !
En tant qu'utilisateur ou administrateur, vous ouvrez volontairement un port !
Les virus, malwares, crapwares et autres cochonneries le font à distance sans vous demander votre avis et si possible le plus discrètement !
Ce sont les ransomwares qui se font principalement connaître après avoir crypté le contenu des disques durs par exemple.
L'OS exécute vos commandes s'il les jugent authentiques !
1. Il peut exiger votre mot de passe Super User par exemple.
2. Un ransomware a besoin d'avoir accès à certaines commandes pour crypter le disque dur.
Certains OS surveillent ce type de comportement.
S'il y a des failles, 23 exploitables en l'espèce, et que ce soit dans les services de l'OS ou des API tierces, services, etc, revient à la même conséquence :
L'OS a permis ou laissé hacker le périphérique !
C'est pourquoi vous avez des mécanismes de sécurité intégrés dans Mac OS, par exemple la fonction de Notaire, ou dans Windows, un service surveillant le comportement des applications pour empêcher un ransomware ou le neutraliser.
Si cette version de Linux n'en est pas équipée, ben certaines failles peuvent être exploitées.
Des failles avec élévation de privilèges existent sur tous les OS, Linux compris !
Combien ont affirmé qu'étant sur Linux, ils n'avaient pas besoin d'antivirus ou d'antimalwares ?
Beaucoup trop à mon sens !
😁
@Scooby-Doo
"Combien ont affirmé qu'étant sur Linux, ils n'avaient pas besoin d'antivirus ou d'antimalwares ?"
Attends... Mais oui pour repérer ceux de Windows sur GNU/Linux. Tu me diras ça évite de les diffuser.
"C'est pourquoi vous avez des mécanismes de sécurité intégrés dans Mac OS, par exemple la fonction de Notaire, ou dans Windows, un service surveillant le comportement des applications pour empêcher un ransomware ou le neutraliser."
Sur GNU/Linux aussi, et tu peux même mettre tout l'OS en lecture seul et les données ailleurs.
"L'OS a permis ou laissé hacker le périphérique !"
Si c'est l'API qui est ajoutée à l'OS c'est donc l'API le problème.
Bref... je ne répondrai même plus.
@Gwynpl@ine,
« Attends... Mais oui pour repérer ceux de Windows sur GNU/Linux. Tu me diras ça évite de les diffuser. »
👍
Merci de penser aux utilisateurs d'autres systèmes d'exploitation !
« Sur GNU/Linux aussi, et tu peux même mettre tout l'OS en lecture seul et les données ailleurs. »
Mac OS le fait aussi il me semble et Windows tend à s'en rapprocher aussi même imparfaitement.
Le problème, c'est que des virus, malwares, etc, Unix / Linux existent aussi et cible ce type de systèmes d'exploitation.
Comme le parc installé sous Unix / Linux par les particuliers est peu protégé par un antivirus ou un anti malwares, ben c'est tout aussi grave.
Pour information mais je suppose que vous êtes déjà au courant, par exemple :
https://www.cyberveille-sante.gouv.fr/alertes/vulnerabilites-dans-le-noyau-linux-2022-09-29-0
https://fr.m.wikipedia.org/wiki/Liste_des_malwares_Linux
https://en.m.wikipedia.org/wiki/Linux_malware
Rexroth n'a pas développé le logiciel de cet outil dans les règles de l'art il me semble.
👌
« Bref... je ne répondrai même plus. »
Je vous en suis gré !
https://github.com/milabs/awesome-linux-rootkits
😁
Il n'y a pas (plus) de bugs dans une installation Linux que sur Osx ou Windows. Et sur openbsd il y en a beaucoup moins (la deuxième vulnérabilité exploitable à distance date de 2007 et il n'y en a pas eu depuis). Donc une installation de base est 'secure'. Après si en tant qu'administrateur tu installes n'importe quoi ou tu fais tourner des services avec des MDP trop faibles, c'est game over. Ni plus ni moins que sur d'autres os. Le service de notarisation d'Apple t'empêche d'installer des applis non validées par Apple. C'est la même chose avec les repositories Linux : tu ne pourras installer que des applis qui ont fait l'objet d'une validation. Sauf à passer Root.
@Mac1978
Ce n’est, je pense, pas tant la base Linux que les ajouts apportés par le fabriquant.
Quoi qu’il en soit cette mode du tout connecté trouve ici ses limites. On ne peut pas demander un constructeur d’outillage d’être un expert en OS et cyber sécurité, même s’il doit se faire aider par des boites de services spécialistes.
@zearno
« Quoi qu’il en soit cette mode du tout connecté trouve ici ses limites. On ne peut pas demander un constructeur d’outillage d’être un expert en OS et cyber sécurité, même s’il doit se faire aider par des boites de services spécialistes. »
Entièrement d’accord avec vous sur :
1. Cette obsession de tout vouloir connecter, y compris les brosses-à-dents, est un peu stupide
2. Surtout, si une entreprise n’a pas les compétences pour vraiment maîtriser les aspects de sécurité, alors elle doit faire appel à un sous-traitement hautement qualifié.
Par contre, si l’OS est vraiment sécurisé, il ne devrait pas être possible de passer au travers. C’est une des raisons de la fermeture progressive de MacOS aux extensions de son kernel, et de l’obligation pour les développeurs tiers de passer par les API mises à disposition par Apple.
L’article de base parle tout de même de 23 failles de sécurité, et mon propos n’est que de relever que la vision binaire OpenSource = Sécurité, Propriétaire = Passoire, doit être nuancée, même pour une distribution importante de Linux.
@ Mac1978
Je suis 100% d'accord avec vous et zearno et vos deux points :
1. Un réseau industriel ne doit pas être connecté à Internet
2. Développer et maintenir un OS, c'est un métier en soit. Ceux dont ce n'est pas le métier devraient faire appel à des... professionnels, des vrais, pas des geeks auto-proclamés "spécialistes" pour faire ou modifier ses propres versions d'OS. (Car bien sûr, ils n'ont pas les compétences, ni les moyens, pour partir de zéro.)
Bref il vaut mieux une tablette ou PC donnant les consignes et une clé (à molette ?) dynamométrique traditionnelle.
J'ai toujours pas compris l'intérêt de la connexion.
Ce ne serait pas moins cher de découpler la clé du réseau ? La clé affiche la force de serrage et basta.
Et le technicien a un pda à côté qui lui dit le serrage à employer.
@v1nce29
Peut-être pour la traçabilité…. La personne serre au couple requis, les valeurs sont transmises au système qui garde une trace de la valeur.
Mais là c’est l’arroseur arrosé.
@fredsoo,
« Peut-être pour la traçabilité…. La personne serre au couple requis, les valeurs sont transmises au système qui garde une trace de la valeur. »
Vous pouvez enlever le “peut-être” !
C'est effectivement pour un problème de traçabilité et d'assurance qualité, notamment dans les secteurs automobile et aérospatial par exemple !
👌
@v1nce29
Un pda 😭😭
@v1nce29
Dans le monde de l’industrie pour la traçabilité tout est connecté à un serveur !
Que ce soit un vissage, un contrôle d’étanchéité, une pièce usinée est marqué d’un datamatrix pour ensuite savoir dans quoi elle est installée etc
@v1nce29
Ce n’est un simple clef que tu tournes…
C’est plus comme une visseuse.
Tu places la clef, tu appuis sur le bouton, elle va tourner bien plus vite que toi, sans que tu es besoin de bouger (pb des acces qui restreignent ta capacité de mouvement) et va s’arrêter au couple.
Celui ci change en fonction des vis que tu es en train d’installer…
Je le sais bien, merci.
Ça ne change rien à mon commentaire. L'outil devrait simplement afficher le couple à utiliser, proposer à l'utilisateur de valider et afficher le couple obtenu.
L'obtention de l'info devrait être externalisée (tablette, PDA,smartphone) avec éventuellement une appli dédiée qui dialogue avec l'outil pour uniquement lui communiquer la valeur à atteindre et la valeur obtenue.
C’est ça qu’ils ont utilisé pour les Boeing 737 Max. Je sors
J'ai pensé à la même chose...
@kaya
C’est le premier truc que je me suis dis
@kaya
Je m'étais rendu dans les commentaires pour faire la même blague.
Moi aussi.
@kaya
Tu m’as volé ma réplique 😢
@kaya
Tu sors par la sortie arrachée ?
🤪
@kaya
> "Boeing 737 Max"
Boeing 737 Max incarne l’optimisme : quand une porte se referme, il y en a toujours une autre qui s’ouvre.
@occam,
« Boeing 737 Max incarne l’optimisme : quand une porte se referme, il y en a toujours une autre qui s’ouvre. »
😁😁😁😁😁😁😁😁😁😁😁
Et quand c'est pas le panneau d'obturation, ça marche du feu de dieu !
https://www.leparisien.fr/video/video-un-boeing-747-de-transport-de-fret-en-feu-dans-le-ciel-de-miami-19-01-2024-AISAQBBNZVHZ3MIHTSE2XTTXL4.php
Bon c'était un B-747 Cargo !
C'est moins drôle ! On risque de perdre que des paquets et les pilotes !
😁
@occam Surtout à 4800 m d’altitude…
@ kaya
> C’est ça qu’ils ont utilisé pour les Boeing 737 Max
Pas sûr que Boeing puisse se défausser sur des outils défectueux.
Je crains que ça soit bien pire, à savoir une mauvaise conception.
Le fait que ça soit GNwU/wLinux pour le système n’empêche pas de trouver des failles dans les logiciels supplémentaires installés et sûrement propriétaires.
Je sais pas si j’ai envie de rire ou de pleurer (de rire ?) en lisant ceci…
😉 Achetez du matériel Atlas Copco c’est bien mieux
Bon après si la clé est briquée, elle peut toujours servir de marteau pour enfoncer des clous 😈
Toujours voir le bon côté des choses 😈
@Sindanarie,
« Bon après si la clé est briquée, elle peut toujours servir de marteau pour enfoncer des clous 😈
Toujours voir le bon côté des choses 😈 »
👌😁🥳
C'est souvent le problème de ces boites qui peuvent être sérieuses dans leurs domaines respectifs mais qui se lancent (pour de bonnes ou mauvaises raisons) dans la connexion de leurs produits aux réseaux... Cette partie est souvent sous-traitée ou achetée à bas prix puis un peu bidouillée en interne par un quasi stagiaire...
J'ai toujours refusé cela, quand, en discutant avec les techniciens qui ont installé et font la maintenance de ma chaudière à pellets (une Frohling P4), ils m'ont proposé de connecter celle-ci à internet et au LAN de ma maison ce qui m'aurait permis de la commander/gérer à distance (j'ai préféré l'installation (plus onéreuse) d'un second écran tactile de commande déporté car la chaudière est dans une annexe de la maison, afin de la commander depuis la maison sans sortir de la maison pour aller dans la chaufferie).
Je leur ai exactement expliqué cela : quand on voit déjà que des boites dont c'est le coeur de métier depuis toujours (et depuis au moins 10, 20, 30, 40 ans) sont victimes de failles majeures, alors qu'elles ont des armées de développeurs pointus en sécurité informatique, on peut penser légitimement que des boites plus petites et/ou dont c'est pas le coeur de métier travaillent moins la partie réseau/connexion et qu'elle puisse être délibérément ou non bâclée et bardées de failles ne serait pas si étonnant. Et compte tenu du prix de la machine, de sa criticité/utilité durant l'hiver et de son potentiel danger (si les mecs peuvent prendre le contrôle à distance, la bloquer voire pire la faire tourner à fond et y foutre le feu par surchauffe, ça me refroidit)... Le technicien m'a répondu "oui, je comprends, mais on a jamais eu le problème"... Et j'ai ajouté, "ça viendra, c'est à minima statistique"...
@captain : oui, exactement, c'est ce que les spécialistes en sécurité disent. Les petites productions pas chères sont une catastrophe : vite faites, sans suivi ni mises à jour, etc.
Évident quand on voit ce que les "grands" laissent comme failles (ce qui est inévitable bien sûr).
La question est effectivement "pourquoi tout connecter : est-ce VRAIMENT une avancée" ? Tout gérer à distance, c'est confortable, mais le jeu en vaut-il la chandelle ?
@Captain Bumper
Vous avez certes raison, mais même si votre chaudière était une passoire niveau cyber sécurité, c’est le ratio investissement/gain qui motive une organisation de hackers à « bloquer » et ensuite demander une rançon.
Nous, le grand publique, ne sommes pas réellement la cible de ce genre de choses.
Apres un voisin qui s’y connaît et vous hait, je dis pas 😅
Au delà de ça, je suis aussi d’accord avec vous que certains produites gerables « à distance » n’ont pas beaucoup d’intérêt en général.
Pouvoir gérer sa chaudière en faisant partie (un programme journalier fait très bien le job)
Pages