Ouvrir le menu principal

MacGeneration

Recherche

23 failles découvertes dans une clé à molette connectée

Pierre Dandumont

vendredi 19 janvier 2024 à 18:00 • 87

Ailleurs

Des chercheurs de la société Nozomi ont publié récemment un article qui explique qu'ils ont découvert 23 failles critiques dans une clé à molette connectée, un modèle de chez Rexroth, une filiale de Bosch.

L'outil en question.

Si l'information peut sembler amusante au premier abord et qu'il est facile de sauter dans les commentaires pour se moquer des gens qui ont besoin de connecter tout et n'importe quoi (ne niez pas, nous vous avons vu), ce n'est pas aussi simple : la Handheld Nutrunner NXA015S-B n'est pas un accessoire à la mode acheté sur une place de marché asiatique quelconque, mais une clé dynamométrique pneumatique professionnelle vendue aux alentours de 14 000 €. L'article de Nozomi explique donc pourquoi les failles sont dangereuses.

Il s'agit d'un modèle très haut de gamme, employé notamment dans l'industrie automobile outre-Rhin. L'appareil dispose d'un écran et peut se connecter en Wi-Fi, pour communiquer avec un serveur. La clé à molette fonctionne même avec un OS dédié, NEXO-OS. Cette distribution GNU/Linux spécialisée va permettre d'intégrer le Nutrunner dans un réseau industriel, pour communiquer avec du matériel parfois très spécialisé, ainsi qu'afficher les données de l'appareil.

Un des exemples donné par Nozomi.

Dans les exemples donnés par Nozomi, le plus simple est évidemment la possibilité de bloquer complètement l'outil, avec un message indiquant le problème. En somme, une application concrète d'un ransomware, pour bloquer une chaîne de montage. Mais ils montrent aussi une attaque nettement plus vicieuse et potentiellement dangereuse : elle consiste à modifier les valeurs affichées sur l'écran, ce qui est totalement invisible pour la personne qui manipule l'outil. Cette dernière peut donc penser que le Nutrunner a bien fonctionné, même si — en réalité — les boulons sont trop serrés (ce qui peut amener des déformations) ou pas assez (vous imaginez le résultat).

Bosch Rexroth devrait proposer une version corrigée de l'OS de son appareil d'ici la fin du mois, mais en attendant, Nozomi recommande quelques solutions finalement assez basiques pour éviter les problèmes : il faut éviter de connecter un outil industriel de ce type à Internet, tenter de limiter au maximum les interactions possibles avec le réseau en cloisonnant les infrastructures et vérifier la liste des personnes ayant accès aux outils, étant donné qu'une partie des 23 failles nécessite un accès authentifié.

Source :

Image d'ouverture : Automotive Rhythms (CC BY-NC-ND 2.0 DEED)

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

L’iPhone doit tenir bon, en attendant l’éclosion de la robotique : la semaine de Gurman

09/02/2025 à 19:30

• 15


Numéro 1 de l’App Store, cette app de kayak cache en fait un service de streaming illégal

08/02/2025 à 11:09

• 110


Notre avis sur Deblock, la néobanque qui réunit un compte courant et un portefeuille crypto

08/02/2025 à 11:09

• 14


Sortie de veille : une app porno sur iPhone, un véritable scandale ?

08/02/2025 à 08:00

• 34


Magazine des 25 ans : plus que quelques jours pour précommander votre exemplaire

07/02/2025 à 22:30

• 25


Le parquet de Paris ouvre une enquête sur X pour manipulation d’algorithme

07/02/2025 à 22:00

• 95


Un ex-ingénieur d’Apple viré pour avoir divulgué des projets en cours fait des excuses publiques

07/02/2025 à 21:00

• 21


Un des développeurs d'Asahi Linux abandonne son travail sur le noyau Linux à cause d'une querelle d'ego

07/02/2025 à 20:00

• 11


Sauvegarde iCloud : le gouvernement britannique aurait demandé à Apple de briser son chiffrement de bout en bout

07/02/2025 à 18:05

• 101


La justice demande le blocage de plusieurs convertisseurs YouTube vers MP3

07/02/2025 à 18:00

• 46


Le Mac App Store ne fonctionne plus sur certaines vieilles versions de macOS

07/02/2025 à 16:15

• 36


Wacom prévoit de nouvelles Intuos Pro pour février 2025

07/02/2025 à 14:00

• 4


Une mise à jour de la RAM d'un autoradio pour éviter des plantages de CarPlay

07/02/2025 à 12:30

• 28


Promo : le MacBook Air M2 démarre à seulement 799 € 🆕

07/02/2025 à 12:08

• 37


LibreOffice 25.2 ajoute un Coup d’œil à ses documents sur Mac

07/02/2025 à 10:52

• 30


Travaillez de chez vous en toute sécurité grâce à Express VPN + un cadeau offert 📍

07/02/2025 à 10:14