23 failles découvertes dans une clé à molette connectée
Des chercheurs de la société Nozomi ont publié récemment un article qui explique qu'ils ont découvert 23 failles critiques dans une clé à molette connectée, un modèle de chez Rexroth, une filiale de Bosch.
Si l'information peut sembler amusante au premier abord et qu'il est facile de sauter dans les commentaires pour se moquer des gens qui ont besoin de connecter tout et n'importe quoi (ne niez pas, nous vous avons vu), ce n'est pas aussi simple : la Handheld Nutrunner NXA015S-B n'est pas un accessoire à la mode acheté sur une place de marché asiatique quelconque, mais une clé dynamométrique pneumatique professionnelle vendue aux alentours de 14 000 €. L'article de Nozomi explique donc pourquoi les failles sont dangereuses.
Il s'agit d'un modèle très haut de gamme, employé notamment dans l'industrie automobile outre-Rhin. L'appareil dispose d'un écran et peut se connecter en Wi-Fi, pour communiquer avec un serveur. La clé à molette fonctionne même avec un OS dédié, NEXO-OS. Cette distribution GNU/Linux spécialisée va permettre d'intégrer le Nutrunner dans un réseau industriel, pour communiquer avec du matériel parfois très spécialisé, ainsi qu'afficher les données de l'appareil.
Dans les exemples donnés par Nozomi, le plus simple est évidemment la possibilité de bloquer complètement l'outil, avec un message indiquant le problème. En somme, une application concrète d'un ransomware, pour bloquer une chaîne de montage. Mais ils montrent aussi une attaque nettement plus vicieuse et potentiellement dangereuse : elle consiste à modifier les valeurs affichées sur l'écran, ce qui est totalement invisible pour la personne qui manipule l'outil. Cette dernière peut donc penser que le Nutrunner a bien fonctionné, même si — en réalité — les boulons sont trop serrés (ce qui peut amener des déformations) ou pas assez (vous imaginez le résultat).
Bosch Rexroth devrait proposer une version corrigée de l'OS de son appareil d'ici la fin du mois, mais en attendant, Nozomi recommande quelques solutions finalement assez basiques pour éviter les problèmes : il faut éviter de connecter un outil industriel de ce type à Internet, tenter de limiter au maximum les interactions possibles avec le réseau en cloisonnant les infrastructures et vérifier la liste des personnes ayant accès aux outils, étant donné qu'une partie des 23 failles nécessite un accès authentifié.
"Apres un voisin qui s’y connaît et vous hait, je dis pas 😅 "
autant vivre sans se poser la question en ayant aucun appareil pouvant présenter une ouverture, si c'est _juste_ un pour gain marginal en confort...
en plus , je suis ce genre de voisin qui s'y connait et haït, donc... je me méfie qu'autrui soit pareil ! :)
@ pelipa91
> Apres un voisin qui s’y connaît et vous hait, je dis pas
Ah le voisinage....
"Avant", au XXième siècle, dans le quartier de mes parents les gens se connaissaient. Quand suite à des cambriolages les gens ont fait installer des alarmes, dès qu'une alarme sonnait (souvent par erreur), au moins un des voisins allait voir ce qui se passe et coupait l'alarme si nécessaire. Cela va sans dire qu'on avait les clés des voisins.
Depuis, ils ont déménagé ou sont mort, et les nouveaux "vivent dans leur boite" comme dit ma mère, et elle ne connait plus qu'un dixième de ses (en grande partie nouveaux) voisins. Bien sûr, si une alarme sonne, et qu'on se pointe pour vérifier, si le voisin qui a déclenché sa propre alarme par erreur vous voit, il se demande ce que vous pouvez bien lui vouloir et vous reçoit mal.
On vit "une belle époque" (du chacun pour soit) comme disait Reiser.
Même s'il y a environ un an ma mère et un voisin (un autre retraité) ont permis l'arrestation de cambrioleurs grâce à leur témoignage à la police.
Ce n’est pas trop dangereux pour cet outil. On le pose et trouve la solution en attendant.
Ce sera pire si pour les voitures. On prend le contrôle à distance avec les voitures connectées comme montre un reportage TV pour une TESLA.
Pas de produits connectés pour moi surtout des choses peuvent générer des dégâts.
Imaginons un lave linge bloqué à 1600 tours/min pendant des heures ou une plaque connectée qui chauffe à mort, une voiture qui ne répond plus et j’en passe.
Le monde devient fou avec les produits CON…nectés.
@PTT91 : ... et une chaudière à pellets (cf. mon message ci-dessus)....
@PTT91
L’avantage d’un sèche-cheveux connecté, c’est qu’au moins il affiche la vérité sur son écran : « Bienvenue gros débile »
@frankm : c'est la version moderne du miroir alors ;-)
@smog,
« c'est la version moderne du miroir alors »
https://www.manomano.fr/p/emke-led-miroir-de-salle-de-bain-miroir-rond-avec-eclairage-70cm-miroir-de-salle-de-bain-bordure-noire-miroir-de-salle-de-bain-avec-tactile-anti-bue-horloge-temprature-dimmable-fonction-mmoire-miroir-mural-eclairage-neu-57512498?model_id=60175373
😁
@Scooby-Doo : ah oui !!!!
J'aurai au moins appris qu'il y a des clés à molette connectées...
Et aussi qu'il y a des gens pour les pirater.
Le monde est parfois très étrange quand-même...
Fort bien dit.
Il n'y a de toute évidence pas eu des gens pour les pirater, il y a eu des gens pour montrer qu'on pourrait les pirater.
@Matlouf,
« Il n'y a de toute évidence pas eu des gens pour les pirater, il y a eu des gens pour montrer qu'on pourrait les pirater. »
Pour l'instant ! Mais des appareils connectés manipulés à distance pour faire autre chose, c'est déjà arrivé :
https://fr.m.wikipedia.org/wiki/Stuxnet
👌
@Matlouf, c'est exact, j'ai été un peu vite. Mais d'autres cas ont montré que ça pouvait arriver.
faut de tout pour faire un monde :)
-
plus concrètement: pensez sabotage et extorsion. deux activités humaines millénaires.
Quand le hacking (black hat) touche la finance (ce n’est que de l’argent) ou un peu de materiel informatique, mais ca releve ici de la securite dont dependent des vies humaines. Voitures, avions, etc. Tres moyen tout ca. Cette filiale de Bosch devrait serieusement songer a employer une equipe de hackers pour QA son materiel/logiciel, comme le font bcp de boites.
Entre nous, qui aurait intérêt à pirater une chaudière ? Faut pas croire qu'un hacker, c'est un ado geek dans un coin, à la "Wargames", qui font ça juste pour faire chier. Ce sont des gens organisés qui cherchent avant tout soit à faire de l'argent (via le chantage ou l'usurpation), soit à déstabiliser un pays.
Imaginez qu'ils arrivent à rendre inutilisables toutes les clefs dynamométriques d'une entreprise. WTF ! On peut toujours serrer avec des clefs manuelles.
@Matlouf,
« Imaginez qu'ils arrivent à rendre inutilisables toutes les clefs dynamométriques d'une entreprise. WTF ! On peut toujours serrer avec des clefs manuelles. »
Certains montages peuvent être difficiles d'accès ! Il faut ce type de clef !
Et vous perdez la traçabilité et l'assurance qualité !
Si vous voulez que des avions soient assemblés comme chez Boeing, ben c'est pas enviable !
Alaska Airlines et United Airlines ont découvert d'autres panneaux d'obturation mal fixés !
Les boulons n'étaient pas suffisamment serrés !
Et ce genre de clef dynamométrique empêche ce type d'erreur et de manière automatisée !
👌
@Matlouf : vous croyez ça... Il y a de tout chez les hackers, justement, et surtout depuis que le blocage des systèmes est lucratif. Oui, il y a des gens organisés, mais ce ne sont pas les seuls. Après, oui, je vous rejoins sur le fait que pirater une chaudière n'est peut-être pas ce qui fait rêver les hackers en herbe. Mais trouver des exploit et s'en vanter par pur satisfaction personnelle, c'est pas réservé aux "grands", bien au contraire. Ce qui relève du défi personnel touche justement aussi ce qui est moins "classique".
Je parle de choses que j'ai vues exposées l'an dernier au siège de l'ANSSI au cours de conférences illustrées d'exemples, je n'invente rien...
Et peut être que hacker la chaudière de monsieur X n’a aucun intérêt (sauf vengeance personnelle) mais hacker toutes les chaudières de la marque X va avoir nettement plus de répercussions sur la marque en question et sur ces produits. La pub risque de ne pas plaire, l’image de la société va en prendre un coup avec des risques financiers à la clé. Donc aucune faille n’est anodine. La cible n’est pas forcément le client final.
très ubik tout ça.
« Les amis, tout doit disparaître ! Super promo/Offre spéciale sur tous nos modèles d’Ubik électrique et silencieux. La maison ne recule devant aucun sacrifice. (Prix cassés !) Et n’oubliez pas : tous les Ubik en stock ont été utilisés conformément au mode d’emploi.
…
Ce n’était que le début.»
C’est une clé à douilles, et non à molette
@StephaneF
Je confirme que l’illustration correspond à l’équivalence d’une clé à cliquer.
@StephaneF,
Je crois surtout que c'est pour Bosch que ça va douiller !
😁
Visiblement le chien est malade (Rexroth)…
@Tomtomrider,
« Visiblement le chien est malade (Rexroth)… »
Je propose Rexpeth !
😁
Passionnant et effrayant à la fois.
“Est-ce ainsi que les hommes vivent?”
J’avais aussi pensé a une sorte de Strava du mécano… concours de serrage entre Midas, Speedy et Euromaster… 😁
Un sujet vraiment intéressant pour qui œuvre dans l’industrie et les risques industriels, notamment liés aux assurances "bris de machines" mais aussi à la Responsabilité Civile des fournisseurs, contracteurs, etc.
L’être humain est devenu tellement idiot qu’il a besoin de connecter tout et n’importe quoi. Prochaine étape, popaul connecté en wi-fi. J’ai utilisé des clés dynamométriques lorsque je dépannais du matériel aéronautique militaire sur des avions de chasse, et on n’avais qu’à lire l’indicateur du couple de serrage pour savoir si c’était bien serré.
@Jean-Jacques Cortes,
« J’ai utilisé des clés dynamométriques lorsque je dépannais du matériel aéronautique militaire sur des avions de chasse, et on n’avais qu’à lire l’indicateur du couple de serrage pour savoir si c’était bien serré. »
👍
Mais voilà comme trop souvent : comparaison n'est pas raison !
Les avions de chasse sont construits en petite série et maintenus par des mécaniciens attachés à une base et souvent à un ou quelques avions qu'ils suivent !
Les principaux problèmes avec les avions de ligne, ce sont :
- le volume de production ;
- la cadence de production ;
- la maintenance « régulière » qui peut être effectuée par différents sites ;
- la maintenance « grande révision » sur des sites particuliers.
Dans cette configuration, une multitude d'interventions et d'intervenants différents peuvent manipuler cet assemblage !
Seule une clef dynamométrique connectée peut assurer un suivi dans les recommandations des standards de l'aviation civile et du constructeur !
Si vous êtes de la partie, vous devriez aisément le comprendre il me semble !
😁
@Scooby-Doo
Il ne peut pas y avoir de reseau privé/fermé? Faut obligatoirement avoir ces clefs connectees?
@firefox,
« Il ne peut pas y avoir de reseau privé/fermé? Faut obligatoirement avoir ces clefs connectees? »
Excellentes questions !
Pour le réseau privé / fermé, je suppose que vous pensez à :
1. Un intranet déconnecté. Dans ce cas quid de la centralisation et suivi des informations concernant cet assemblage pendant sa construction déjà sur plusieurs sites, puis sa maintenance par différents prestataires.
2. Un VPN entre les sites de production et de maintenance.
Le problème, c'est que tous ces sites sont déjà connectés à Internet. Même en les isolant, le risque est non nul.
Et puis on a le volume des attaques, par exemple :
https://fr.m.wikipedia.org/wiki/Cyberattaque_de_2020_contre_les_%C3%89tats-Unis
« Faut-il obligatoirement avoir ces clefs connectees ? »
Si vous souhaitez automatiser le suivi des pièces dans le secteur aérospatial, je pense que c'est nécessaire d'utiliser des outils qui reconnaissent automatiquement les pièces et valident les forces appliquées pour le serrage par exemple.
Avant, je suppose que c'était effectué manuellement avec des carnets de suivi pour toute la vie de l'aéronef.
On a par exemple ceci :
https://fr.m.wikipedia.org/wiki/Flight_tracking
Qui repose sur cette technologie entre autres :
https://fr.m.wikipedia.org/wiki/Automatic_dependent_surveillance-broadcast
Les avions récents ont une multitude de capteurs produisant des rapports automatiques pour la maintenance.
Et depuis quelques années, nous avons l'AFDX :
https://fr.m.wikipedia.org/wiki/Avionics_Full_DupleX
Notamment pour les Airbus A380, A350, A400M ainsi que l'ATR72 600.
C'est de l'Intranet embarqué.
Comme tous types de réseaux, on peut avoir des attaques directes ou indirectes.
Par exemple en infectant un ordinateur de maintenance au sol.
Tous les cas de figures sont envisageables.
👌
Pourquoi n'entendez-vous jamais dire que la bourse à été craquée ?
Et bien parce qu'elle n'est pas connectée à Internet.
Produire des outils industriels qui ont besoin d'Internet, ne serait-ce que pour les mises à jour, c'est la porte ouverte au piratage — et c'est AMHA un choix irresponsable.
> Bosch Rexroth devrait proposer une version corrigée de l'OS de son appareil d'ici la fin du mois
Enfin, vouloir à tout prix développer son propre OS quand ce n'est pas votre cœur de métier, ce que font beaucoup de producteurs de machins connectés, je ne suis pas sûr que ce soit la meilleur idée ne serait-ce qu'en termes de sécurité.
PS: Le titre est inexact.
Une clé dynamométrique, ce n'est pas une clé à molette !!!
Les ricanements au sujet d'une "clé à molette connectée" sont donc totalement justifiés.
Le PDG d'Alaska Airlines indique que des boulons mal serrés ont été retrouvés dans plusieurs Boeing
https://news.slashdot.org/story/24/01/24/048249/alaska-air-ceo-says-loose-bolts-found-in-many-boeing-jets
Un Boeing 757 perd une roue au décollage...
J'hallucine à quel point il a des gens qui ont besoin de connecter tout et n'importe quoi
Pages