L'industrie a parfois besoin de hackers de haut niveau qui découvrent des failles qu'il est ensuite possible de combler. | Capture d'écran via YouTube
L'industrie a parfois besoin de hackers de haut niveau qui découvrent des failles qu'il est ensuite possible de combler. | Capture d'écran via YouTube

Au Pwn2Own, les hackers protègent l'industrie de ses pires failles logicielles

Les enjeux de ce grand show primé de la cybersécurité sont majeurs.

Sur la scène du Fillmore Theater de Miami, mardi 21 janvier, Steven Seeley et Chris Anastasio sont assis, face à leur ordinateur. À quelques centimètres devant eux se tient, posée sur une table, une machine de la marque Dell faisant tourner un logiciel un brin particulier: une interface humain-machine (HMI) de la société Rockwell Automation.

Malgré le nom un brin pompeux, ce type de software est utilisé par l'ensemble de l'industrie, dans le monde entier, pour manipuler des machines physiques. Les HMI de Rockwell peuvent aussi bien servir au contrôle de stations de lavage automatique de véhicules qu'à des centrales nucléaires.

Les deux hommes, qui forment la Team Incite, ont cinq minutes pour craker le logiciel. Au bout de cinquante-six secondes tendues, Steven Seeley et Chris Anastasio se relâchent, reculent sur leurs chaises, sourient. L'affaire est faite: c'est désormais Microsoft Paint qui tourne sur le PC Dell. La Team Incite vient de gagner 25.000 dollars (22.600 euros) et la foule du Fillmore Theater de Miami applaudit bruyamment.

Nous sommes à un rassemblent de pirates informatiques nommé Pwn2Own, l'un des plus célèbres rassemblements annuels en sécurité informatique aux États-Unis.

Pirates et chercheurs ou chercheuses informatiques s'y retrouvent pour découvrir les failles de divers logiciels en échange de récompenses. L'année dernière, deux hackers avaient par exemple réussi à contrôler une Tesla Model S, ce qui leur avait permis de gagner le véhicule et un «cashprize» de 350.000 dollars (317.000 euros).

Infrastructures critiques

Cette édition 2020 se tenant à Miami est un peu différente des autres. Cette année, les hackers se concentrent uniquement sur des logiciels de contrôle industriel.

Tous les logiciels piratés sont liés à des systèmes de machinerie physique. Des vulnérabilités au sein de ces logiciels peuvent avoir des conséquences dramatiques, allant de situations menaçant directement des vies humaines à des blackouts industriels considérables.

«C'est le type de logiciel qui fait fonctionner les infrastructures critiques du monde entier», explique à Wired Brian Gorenc, l'un des organisateurs principaux du Pwn2Own. «Si nous voulons nous défendre contre des attaques commanditées par des États, c'est maintenant que nous devons trouver les vulnérabilités, avant qu'elles ne se retrouvent dans la nature.»

Ces dernières années, les cyberattaques industrielles sont devenues un enjeu de taille pour les États. On se souvient des blackouts en Ukraine, du malware Triton et, très récemment, de la crainte d'assauts cyber de la part de l'Iran.

Les hackers présents au Pwn2Own on eu trois mois pour étudier les logiciels de contrôle industriels qu'ils allaient tenter de pirater durant l'évènement. Résultat? Durant les trois jours de la compétition, aucun des huit logiciels de contrôle mis à leur disposition n'a été hacké.

En ce moment

Greenlight veut transformer les enfants en traders

Biz

Greenlight veut transformer les enfants en traders

«Mamaaan, Kevin a encore provoqué un crash!»

Le plus gros avion amphibie du monde, un atout maître pour l'armée chinoise

Et Cætera

Le plus gros avion amphibie du monde, un atout maître pour l'armée chinoise

L'AG600 pourrait aider la République populaire à affermir sa mainmise sur la mer de Chine méridionale.

Les dix principaux gestionnaires d'actifs alimentent la volatilité des marchés

Biz

Les dix principaux gestionnaires d'actifs alimentent la volatilité des marchés

De BlackRock à Vanguard, les grands investisseurs institutionnels ont le pouvoir de faire trembler la finance.