L'industrie a parfois besoin de hackers de haut niveau qui découvrent des failles qu'il est ensuite possible de combler. | Capture d'écran via YouTube
L'industrie a parfois besoin de hackers de haut niveau qui découvrent des failles qu'il est ensuite possible de combler. | Capture d'écran via YouTube

Au Pwn2Own, les hackers protègent l'industrie de ses pires failles logicielles

Les enjeux de ce grand show primé de la cybersécurité sont majeurs.

Sur la scène du Fillmore Theater de Miami, mardi 21 janvier, Steven Seeley et Chris Anastasio sont assis, face à leur ordinateur. À quelques centimètres devant eux se tient, posée sur une table, une machine de la marque Dell faisant tourner un logiciel un brin particulier: une interface humain-machine (HMI) de la société Rockwell Automation.

Malgré le nom un brin pompeux, ce type de software est utilisé par l'ensemble de l'industrie, dans le monde entier, pour manipuler des machines physiques. Les HMI de Rockwell peuvent aussi bien servir au contrôle de stations de lavage automatique de véhicules qu'à des centrales nucléaires.

Les deux hommes, qui forment la Team Incite, ont cinq minutes pour craker le logiciel. Au bout de cinquante-six secondes tendues, Steven Seeley et Chris Anastasio se relâchent, reculent sur leurs chaises, sourient. L'affaire est faite: c'est désormais Microsoft Paint qui tourne sur le PC Dell. La Team Incite vient de gagner 25.000 dollars (22.600 euros) et la foule du Fillmore Theater de Miami applaudit bruyamment.

Nous sommes à un rassemblent de pirates informatiques nommé Pwn2Own, l'un des plus célèbres rassemblements annuels en sécurité informatique aux États-Unis.

Pirates et chercheurs ou chercheuses informatiques s'y retrouvent pour découvrir les failles de divers logiciels en échange de récompenses. L'année dernière, deux hackers avaient par exemple réussi à contrôler une Tesla Model S, ce qui leur avait permis de gagner le véhicule et un «cashprize» de 350.000 dollars (317.000 euros).

Infrastructures critiques

Cette édition 2020 se tenant à Miami est un peu différente des autres. Cette année, les hackers se concentrent uniquement sur des logiciels de contrôle industriel.

Tous les logiciels piratés sont liés à des systèmes de machinerie physique. Des vulnérabilités au sein de ces logiciels peuvent avoir des conséquences dramatiques, allant de situations menaçant directement des vies humaines à des blackouts industriels considérables.

«C'est le type de logiciel qui fait fonctionner les infrastructures critiques du monde entier», explique à Wired Brian Gorenc, l'un des organisateurs principaux du Pwn2Own. «Si nous voulons nous défendre contre des attaques commanditées par des États, c'est maintenant que nous devons trouver les vulnérabilités, avant qu'elles ne se retrouvent dans la nature.»

Ces dernières années, les cyberattaques industrielles sont devenues un enjeu de taille pour les États. On se souvient des blackouts en Ukraine, du malware Triton et, très récemment, de la crainte d'assauts cyber de la part de l'Iran.

Les hackers présents au Pwn2Own on eu trois mois pour étudier les logiciels de contrôle industriels qu'ils allaient tenter de pirater durant l'évènement. Résultat? Durant les trois jours de la compétition, aucun des huit logiciels de contrôle mis à leur disposition n'a été hacké.

En ce moment

Des jeux pour travailler, le pétrole qui se noie, la menace d'une crise alimentaire, une journée sur korii.

Et Cætera

Des jeux pour travailler, le pétrole qui se noie, la menace d'une crise alimentaire, une journée sur korii.

Le récap' du jour.

Contre le coronavirus, l'Inde mise sur le DIY et le low-tech

Et Cætera

Contre le coronavirus, l'Inde mise sur le DIY et le low-tech

Le pays manque de moyens, mais certainement pas d'idées.

Si le travail vous manque, le jeu vidéo peut vous remettre au boulot

Tech

Si le travail vous manque, le jeu vidéo peut vous remettre au boulot

On peut tout simuler, même les cadences infernales.