Sur la scène du Fillmore Theater de Miami, mardi 21 janvier, Steven Seeley et Chris Anastasio sont assis, face à leur ordinateur. À quelques centimètres devant eux se tient, posée sur une table, une machine de la marque Dell faisant tourner un logiciel un brin particulier: une interface humain-machine (HMI) de la société Rockwell Automation.
Malgré le nom un brin pompeux, ce type de software est utilisé par l'ensemble de l'industrie, dans le monde entier, pour manipuler des machines physiques. Les HMI de Rockwell peuvent aussi bien servir au contrôle de stations de lavage automatique de véhicules qu'à des centrales nucléaires.
Les deux hommes, qui forment la Team Incite, ont cinq minutes pour craker le logiciel. Au bout de cinquante-six secondes tendues, Steven Seeley et Chris Anastasio se relâchent, reculent sur leurs chaises, sourient. L'affaire est faite: c'est désormais Microsoft Paint qui tourne sur le PC Dell. La Team Incite vient de gagner 25.000 dollars (22.600 euros) et la foule du Fillmore Theater de Miami applaudit bruyamment.
Nous sommes à un rassemblent de pirates informatiques nommé Pwn2Own, l'un des plus célèbres rassemblements annuels en sécurité informatique aux États-Unis.
Pirates et chercheurs ou chercheuses informatiques s'y retrouvent pour découvrir les failles de divers logiciels en échange de récompenses. L'année dernière, deux hackers avaient par exemple réussi à contrôler une Tesla Model S, ce qui leur avait permis de gagner le véhicule et un «cashprize» de 350.000 dollars (317.000 euros).
Infrastructures critiques
Cette édition 2020 se tenant à Miami est un peu différente des autres. Cette année, les hackers se concentrent uniquement sur des logiciels de contrôle industriel.
Tous les logiciels piratés sont liés à des systèmes de machinerie physique. Des vulnérabilités au sein de ces logiciels peuvent avoir des conséquences dramatiques, allant de situations menaçant directement des vies humaines à des blackouts industriels considérables.
«C'est le type de logiciel qui fait fonctionner les infrastructures critiques du monde entier», explique à Wired Brian Gorenc, l'un des organisateurs principaux du Pwn2Own. «Si nous voulons nous défendre contre des attaques commanditées par des États, c'est maintenant que nous devons trouver les vulnérabilités, avant qu'elles ne se retrouvent dans la nature.»
Ces dernières années, les cyberattaques industrielles sont devenues un enjeu de taille pour les États. On se souvient des blackouts en Ukraine, du malware Triton et, très récemment, de la crainte d'assauts cyber de la part de l'Iran.
Les hackers présents au Pwn2Own on eu trois mois pour étudier les logiciels de contrôle industriels qu'ils allaient tenter de pirater durant l'évènement. Résultat? Durant les trois jours de la compétition, aucun des huit logiciels de contrôle mis à leur disposition n'a été hacké.
