Des robots piratables ?

29 Mar 2018

Tout comme la plupart des objets électroniques, les robots ne sont pas à l’abri d’attaques de cybercriminels. L’année dernière, les chercheurs de la société IOActive ont détecté 50 vulnérabilités dans les robots développés par l’entreprise japonaise SoftBank. Ils ont averti le fabricant mais n’ont jamais reçu de réponse. Par conséquent, lors du SAS 2018, ils ont décidé de montrer quelles peuvent être les conséquences si un robot est piraté.

Des robots qui peuvent être piratés

Les robots sont omniprésents ; ils travaillent sans relâche dans les usines et les entrepôts, ils trient les déchets dans les décharges, et ils travaillent même dans les hôpitaux. Pour sa part, SoftBank Robotics fournit des assistants électroniques pour travailler avec des personnes. Le modèle NAO introduit la programmation et la robotique aux enfants et aux étudiants, et il enseigne aux enfants atteints d’autisme. Un autre modèle, Pepper, a été créé pour travailler dans le secteur des services. Parmi ses tâches, l’on trouve notamment la captation de clients potentiels et la prestation de conseils aux acheteurs.

Tout comme l’équipe IOActive l’a découvert, vous n’avez qu’à être connecté au même réseau que le robot NAO pour en prendre le contrôle. Les experts ont trouvé des vulnérabilités qui permettent de prendre le contrôle des commandes à distance et d’avoir un contrôle total des actions du robot.

Pour expliquer comment ces vulnérabilités peuvent être exploitées, l’équipe a obligé NAO à extorquer des bitcoins à son interlocuteur humain. La seule limite des vrais criminels ne serait que leur imagination et leurs connaissances en programmation. De plus, NAO n’est pas le seul robot qui peut être infecté par un ransomware ; le robot Pepper, qui est plus orienté vers les affaires, est aussi vulnérable, et d’autres modèles le sont probablement aussi.

 

Imaginez si lors d’une journée ordinaire un robot enseignant, ou employé de magasin, commence à dire des gros mots ou des insultes devant Monsieur-Madame-Tout-le-Monde avant de faire grève ou de se battre. On ne sait jamais !

Pourquoi quelqu’un piraterait un robot ?

Qu’est-ce que les criminels ont à y gagner ? Est-ce que ça ne va pas juste gâcher la journée ou la vie de quelqu’un ? Pour certains pirates informatiques, cette motivation peut être suffisante puisqu’ils font souvent des choses similaires pour s’amuser. Mais il existe une autre raison : l’argent.

Le but lucratif est assez simple. Acheter un robot coûte environ 10 000 €, et s’il se casse il doit être réparé ou remplacé. Dans tous les cas, il faut disposer d’une somme d’argent assez importante dès le début. Cependant, les facteurs comme le coût de la période d’arrêt et la perte de réputation de la possession d’un robot menacent les clients, et le montant augmente considérablement. Si un robot industriel est piraté, il peut représenter une menace immédiate pour la sécurité des employés ou pour la qualité de la production.

Si l’agresseur compromet le robot en utilisant une de ces techniques, il offrira sûrement une solution rapide pour résoudre le problème dont il est à l’origine : payez une rançon et tout sera réglé. Comme vous vous en doutez, les cybercriminels ne tiennent pas toujours parole. Il est évident qu’un robot vulnérable peut être à nouveau piraté et que le propriétaire ait à réaliser un nouveau paiement, puis un autre.

Que pouvez-vous faire ?

Les robots ne vont pas disparaître, et ils vont même se multiplier, donc éviter tout contact avec eux n’est pas la solution, à moins que vous ayez inventé une machine pour remonter le temps. À la place, les utilisateurs, et surtout les fabricants, doivent être sensibilisés aux faiblesses des robots.

Pour s’assurer que les dispositifs ne passent pas de la technologie de pointe à la catastrophe en un clin d’œil, les créateurs de robots doivent penser en amont aux problèmes de sécurité, avant le début de la production. Maintenant. Ensuite, après que le produit ait été lancé sur le marché, ils doivent rester à l’écoute afin de répondre rapidement aux vulnérabilités rapportées et les résoudre.