{"id":17891,"date":"2021-10-18T19:01:40","date_gmt":"2021-10-18T17:01:40","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=17891"},"modified":"2021-10-18T19:01:40","modified_gmt":"2021-10-18T17:01:40","slug":"hacking-agriculture-defcon29","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/hacking-agriculture-defcon29\/17891\/","title":{"rendered":"La s\u00e9curit\u00e9 du mat\u00e9riel agricole \u00e0 la DEF CON 29"},"content":{"rendered":"<p>Une des pr\u00e9sentations les plus surprenantes de la conf\u00e9rence DEF CON 29, qui a eu lieu en ao\u00fbt, s\u2019int\u00e9ressait aux vuln\u00e9rabilit\u00e9s du mat\u00e9riel agricole. Elles ont \u00e9t\u00e9 <a href=\"https:\/\/www.youtube.com\/watch?v=zpouLO-GXLo\" target=\"_blank\" rel=\"noopener nofollow\">d\u00e9couvertes<\/a> par un chercheur australien connu comme <a href=\"https:\/\/twitter.com\/sickcodes\" target=\"_blank\" rel=\"noopener nofollow\">Sick Codes<\/a>.<\/p>\n<p>Les vuln\u00e9rabilit\u00e9s qui affectent les grands fabricants John Deere et Case IH n\u2019ont pas \u00e9t\u00e9 d\u00e9tect\u00e9es dans les tracteurs et les moissonneuses-batteuses mais dans leurs services Web, que les chercheurs connaissent beaucoup mieux. Gr\u00e2ce \u00e0 ces failles, il \u00e9tait possible de prendre directement le contr\u00f4le de mat\u00e9riel tr\u00e8s couteux qui p\u00e8se plusieurs tonnes, ce qui peut s\u2019av\u00e9rer tr\u00e8s dangereux.<\/p>\n<h2>Machines agricoles modernes<\/h2>\n<p>Pour les personnes qui s\u2019y connaissent peu en agriculture moderne, le prix d\u2019une machine peut sembler astronomique. Lors de son intervention, Sick Codes a expliqu\u00e9 pourquoi les tracteurs et les moissonneuses-batteuses sont aussi chers. Les meilleures machines agricoles modernes sont informatis\u00e9es et automatis\u00e9es \u00e0 un niveau assez avanc\u00e9. L\u2019ensileuse s\u00e9rie 9000 de John Deere est l\u2019exemple parfait puisqu\u2019elle est promue de cette fa\u00e7on :<\/p>\n<p><span class=\"embed-youtube\" style=\"text-align:center; display: block;\"><iframe class=\"youtube-player\" type=\"text\/html\" width=\"640\" height=\"390\" src=\"https:\/\/www.youtube.com\/embed\/pc8NAKoXoRg?version=3&amp;rel=1&amp;fs=1&amp;showsearch=0&amp;showinfo=1&amp;iv_load_policy=1&amp;wmode=transparent\" frameborder=\"0\" allowfullscreen=\"true\"><\/iframe><\/span><\/p>\n<p>Pourtant, son moteur V12 de 24 litres et son prix \u00e0 six chiffres ne sont pas les aspects les plus importants. L\u2019annonce commerciale \u00e9num\u00e8re les capacit\u00e9s techniques de cette machine\u00a0: syst\u00e8me d\u2019orientation dans l\u2019espace, flux de r\u00e9colte automatique, ou encore capteurs d\u2019emplacement et synchronisation avec le camion qui re\u00e7oit les grains coup\u00e9s. En plus de cela, Sick Codes ajoute le contr\u00f4le \u00e0 distance et la capacit\u00e9 du service technique \u00e0 se connecter directement \u00e0 la machine en cas de panne. C\u2019est l\u00e0 qu\u2019il fait une revendication audacieuse\u00a0: l\u2019agriculture moderne d\u00e9pend enti\u00e8rement d\u2019Internet.<\/p>\n<h2>Mod\u00e8le de menace pour le mat\u00e9riel agricole<\/h2>\n<p>Comme on pouvait s\u2019y attendre, ce mat\u00e9riel dernier cri est rempli de technologies modernes\u00a0: GPS conventionnel, positionnement 3G\/4G\/LTE, syst\u00e8mes de communication ou encore <a href=\"https:\/\/fr.wikipedia.org\/wiki\/Cin%C3%A9matique_temps_r%C3%A9el\" target=\"_blank\" rel=\"noopener nofollow\">techniques de navigation inertielle<\/a> pour d\u00e9terminer l\u2019emplacement sur le sol \u00e0 quelques centim\u00e8tres pr\u00e8s. Le mod\u00e8le de menace con\u00e7u par Sick Codes repose sur des concepts informatiques et est assez mena\u00e7ant lorsqu\u2019il devient r\u00e9alit\u00e9.<\/p>\n<p>\u00c0 quoi ressemble une attaque par d\u00e9ni de service dans la vie r\u00e9elle\u00a0? Imaginons que nous puissions modifier certains param\u00e8tres du logiciel pour l\u2019\u00e9pandage d\u2019engrais au sol et augmenter la dose de fa\u00e7on significative. Nous pourrions facilement rendre le terrain inexploitable pour les prochaines ann\u00e9es voire d\u00e9cennies.<\/p>\n<p>Et qu\u2019en est-il de cette autre th\u00e9orie un peu plus simple\u00a0: nous prenons le contr\u00f4le de la moissonneuse-batteuse et nous en servons pour endommager une ligne \u00e9lectrique, par exemple. Nous pouvons aussi la pirater pour perturber la r\u00e9colte et engendrer de grosses pertes \u00e0 l\u2019agriculteur. \u00c0 \u00e9chelle nationale, ces \u00a0\u00bb\u00a0exp\u00e9riences\u00a0\u00a0\u00bb pourraient menacer la s\u00e9curit\u00e9 alimentaire. Le mat\u00e9riel agricole connect\u00e9 est donc une infrastructure vraiment critique.<\/p>\n<p>Selon Sick Codes, la protection mise en place par les fournisseurs de ces technologies et de ces infrastructures laisse beaucoup \u00e0 d\u00e9sirer. Voici ce qu\u2019il a d\u00e9couvert avec les membres de son \u00e9quipe.<\/p>\n<h2>Attaque par force brute du nom d\u2019utilisateur, mot de passe cod\u00e9 en dur et bien d\u2019autres<\/h2>\n<p>Certaines des vuln\u00e9rabilit\u00e9s de l\u2019infrastructure John Deere pr\u00e9sent\u00e9es lors de cette conf\u00e9rence ont aussi \u00e9t\u00e9 d\u00e9crites dans un <a href=\"https:\/\/sick.codes\/leaky-john-deere-apis-serious-food-supply-chain-vulnerabilities-discovered-by-sick-codes-kevin-kenney-willie-cade\/\" target=\"_blank\" rel=\"noopener nofollow\">article publi\u00e9 sur le site du chercheur<\/a>. Sick Codes a d\u2019abord cr\u00e9\u00e9 un compte l\u00e9gitime de d\u00e9veloppeur sur le site de l\u2019entreprise (m\u00eame s\u2019il a oubli\u00e9 le nom qu\u2019il avait utilis\u00e9). Alors qu\u2019il essayait de s\u2019en souvenir, il a d\u00e9couvert quelque chose d\u2019inattendu\u00a0: l\u2019API lan\u00e7ait une recherche de noms d\u2019utilisateur chaque fois qu\u2019il \u00e9crivait une lettre. Une simple v\u00e9rification a r\u00e9v\u00e9l\u00e9, qu\u2019en effet, les noms d\u2019utilisateurs d\u00e9j\u00e0 dans le syst\u00e8me peuvent \u00eatre attaqu\u00e9s par force brute.<\/p>\n<div id=\"attachment_17892\" style=\"width: 1150px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-17892\" class=\"wp-image-17892 size-full\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/93\/2021\/10\/18185534\/hacking-agriculure-defcon29-logins.png\" alt=\"Noms d'utilisateur et attaque par force brute\" width=\"1140\" height=\"570\"><p id=\"caption-attachment-17892\" class=\"wp-caption-text\">Noms d\u2019utilisateur et attaque par force brute. <a href=\"https:\/\/www.youtube.com\/watch?v=zpouLO-GXLo\" target=\"_blank\" rel=\"nofollow noopener\">Source<\/a><\/p><\/div>\n<p>La limite habituelle du nombre de demandes \u00e0 partir d\u2019une adresse IP pour ces syst\u00e8mes n\u2019a pas \u00e9t\u00e9 \u00e9tablie. En quelques minutes seulement, Sick Codes a envoy\u00e9 1000 demandes et a v\u00e9rifi\u00e9 si les noms d\u2019utilisateur correspondaient au nom des entreprises du classement Fortune 1000. Il a obtenu 192 r\u00e9sultats.<\/p>\n<p>L\u2019autre vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 d\u00e9couverte dans un service interne qui permet aux clients de conserver un historique du mat\u00e9riel achet\u00e9. Comme Sick Codes l\u2019a constat\u00e9, n\u2019importe qui ayant acc\u00e8s \u00e0 cet outil peut voir les informations de n\u2019importe quel tracteur ou moissonneuse-batteuse figurant dans la base de donn\u00e9es. Les droits d\u2019acc\u00e8s \u00e0 ces donn\u00e9es ne sont pas v\u00e9rifi\u00e9s. De plus, ces informations sont relativement confidentielles\u00a0: propri\u00e9taire du v\u00e9hicule, adresse, etc.<\/p>\n<p>Lors de la DEF CON 29, Sick Codes en a r\u00e9v\u00e9l\u00e9 un peu plus que sur son site. Par exemple, il a r\u00e9ussi \u00e0 acc\u00e9der au service qui g\u00e8re le mat\u00e9riel de d\u00e9monstration, y compris l\u2019historique complet des d\u00e9monstrations et les donn\u00e9es personnelles des employ\u00e9s. Enfin, son coll\u00e8gue a d\u00e9tect\u00e9 une <a href=\"https:\/\/cve.mitre.org\/cgi-bin\/cvename.cgi?name=2021-27653\" target=\"_blank\" rel=\"noopener nofollow\">vuln\u00e9rabilit\u00e9<\/a> dans le service d\u2019entreprise Pega Chat Access Group, avec un mot de passe administrateur cod\u00e9 en dur. Cela lui a notamment permis d\u2019obtenir les cl\u00e9s d\u2019acc\u00e8s au compte client de John Deere. Il est vrai que Sick Codes n\u2019a pas expliqu\u00e9 en d\u00e9tail le contenu ouvert par cette cl\u00e9, mais il s\u2019agirait d\u2019un autre ensemble de services internes.<\/p>\n<p>Pour \u00e9quilibrer, Sick Codes a aussi pr\u00e9sent\u00e9 certaines vuln\u00e9rabilit\u00e9s qui affectent le concurrent europ\u00e9en de John Deere\u00a0: Case IH. Dans ce cas, il a pu acc\u00e9der \u00e0 un serveur non s\u00e9curis\u00e9 Java Melody qui supervise certains services du fabricant, ce qui lui a permis d\u2019obtenir des informations d\u00e9taill\u00e9es sur les utilisateurs et a r\u00e9v\u00e9l\u00e9 la possibilit\u00e9, du moins en th\u00e9orie, de pirater n\u2019importe quel compte.<\/p>\n<h2>Contacter les entreprises<\/h2>\n<p>Pour des raisons d\u2019\u00e9quit\u00e9, il convient de souligner que Sick Codes n\u2019a pas trouv\u00e9 de lien direct entre les menaces mentionn\u00e9es et les vuln\u00e9rabilit\u00e9s d\u00e9tect\u00e9es. Peut-\u00eatre est-ce pour ne pas mettre en danger les agriculteurs ordinaires, ou tout simplement parce qu\u2019il n\u2019a vraiment pas trouv\u00e9 de lien. A partir de ces simples failles de s\u00e9curit\u00e9 d\u00e9tect\u00e9es, il en a conclu que la culture de s\u00e9curit\u00e9 de ces entreprises est faible, ce qui nous laisse en d\u00e9duire que la s\u00e9curit\u00e9 en cas de tentative de prise de contr\u00f4le de la moissonneuse-batteuse serait la m\u00eame. Tout cela n\u2019est que pure hypoth\u00e8se.<\/p>\n<p>Les probl\u00e8mes du site de l\u2019entreprise ont \u00e9t\u00e9 corrig\u00e9s mais les messages des chercheurs n\u2019ont re\u00e7u aucune r\u00e9ponse. \u00c0 vrai dire, ils ont eu une r\u00e9ponse, mais elle \u00e9tait plut\u00f4t \u00e9trange. Apr\u00e8s que les vuln\u00e9rabilit\u00e9s <a href=\"https:\/\/www.vice.com\/en\/article\/4avy8j\/bugs-allowed-hackers-to-dox-all-john-deere-owners\" target=\"_blank\" rel=\"noopener nofollow\">aient fait la une<\/a> en avril de cette ann\u00e9e, un <a href=\"https:\/\/twitter.com\/JohnDeere\/status\/1383925815092518918\" target=\"_blank\" rel=\"noopener nofollow\">message \u00e9nigmatique<\/a> a \u00e9t\u00e9 publi\u00e9 sur le compte Twitter officiel de l\u2019entreprise : \u00ab\u00a0Pr\u00e9vision m\u00e9t\u00e9o de cette semaine : entre un et trois centim\u00e8tres de non-sens.\u00a0\u00bb Au m\u00eame moment, un poste d\u2019ing\u00e9nieur en s\u00e9curit\u00e9 a \u00e9t\u00e9 mis en ligne et la date d\u2019incorporation \u00e9tait \u00e9crite en majuscules : IMM\u00c9DIATE.<\/p>\n<h2>Le droit de r\u00e9parer<\/h2>\n<p>En 2017, le magazine <em>Vice<\/em> <a href=\"https:\/\/www.vice.com\/en\/article\/xykkkd\/why-american-farmers-are-hacking-their-tractors-with-ukrainian-firmware\" target=\"_blank\" rel=\"noopener nofollow\">a r\u00e9dig\u00e9 un article<\/a> sur les probl\u00e8mes rencontr\u00e9s par les propri\u00e9taires de mat\u00e9riel agricole John Deere. De nombreux programmes et hardwares ont des verrous qui emp\u00eachent les utilisateurs de r\u00e9parer les machines eux-m\u00eames. Techniquement, chaque substitution est cens\u00e9e \u00eatre \u00ab\u00a0enregistr\u00e9e\u00a0\u00bb dans l\u2019ordinateur de contr\u00f4le du mat\u00e9riel ou dans la base de donn\u00e9es du fournisseur. Mais les contacts officiels sont longs et co\u00fbteux. Les agriculteurs choisissent souvent un micrologiciel ill\u00e9gal qui leur permet de d\u00e9lier la machine de son fabricant.<\/p>\n<p>C\u2019est un tr\u00e8s bon exemple pour un d\u00e9bat sur le droit \u00e0 la r\u00e9paration\u00a0: il s\u2019av\u00e8re que les clients de l\u2019entreprise ne poss\u00e8dent pas ce qu\u2019ils ach\u00e8tent. Ils louent le mat\u00e9riel (\u00e0 plein tarif) et doivent avoir recours aux services d\u2019entretien du fabricant, m\u00eame s\u2019ils n\u2019en ont pas envie. Le vendeur mentionne souvent la s\u00e9curit\u00e9 comme raison principale, et notamment le besoin d\u2019\u00e9viter qu\u2019une unit\u00e9 de contr\u00f4le non autoris\u00e9e puisse, par exemple, avoir acc\u00e8s \u00e0 une machine complexe. Sick Codes a logiquement demand\u00e9\u00a0: quelle s\u00e9curit\u00e9 offrez-vous de toute fa\u00e7on vu qu\u2019il y a de telles failles dans les programmes\u00a0?<\/p>\n<p>\u00c0 la fin de son rapport, Sick Codes a pr\u00e9sent\u00e9 le module de contr\u00f4le de John Deere \u00e9quip\u00e9 de la puce cellulaire Qualcomm et a \u00e9num\u00e9r\u00e9 une liste interminable de vuln\u00e9rabilit\u00e9s critiques r\u00e9cemment d\u00e9couvertes. Il s\u2019agit \u00e9videmment d\u2019un argument qui n\u2019a pas beaucoup de poids\u00a0: les vuln\u00e9rabilit\u00e9s doivent encore \u00eatre exploit\u00e9es et le simple fait de trouver des bugs n\u2019apporte pas grand-chose.<\/p>\n<p>Le nombre de vuln\u00e9rabilit\u00e9s importe peu, le plus important est la capacit\u00e9 \u00e0 les d\u00e9tecter et a rapidement les corriger. Sick Codes a essay\u00e9 de convaincre le public que le mat\u00e9riel agricole est aussi peu prot\u00e9g\u00e9 que le mat\u00e9riel m\u00e9dical. Quelle que soit l\u2019authenticit\u00e9 de cette affirmation, le probl\u00e8me doit encore \u00eatre abord\u00e9, et cela passe d\u2019abord par une conversation avec les fabricants. Ce n\u2019est que dans l\u2019int\u00e9r\u00eat de ces derniers de tenir compte des avertissements donn\u00e9s par les hackers \u00e9thiques, et avant que les cybercriminels n\u2019en profitent.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Lors de la DEF CON 29, un chercheur a expliqu\u00e9 pourquoi le mat\u00e9riel agricole devrait \u00eatre consid\u00e9r\u00e9 comme une infrastructure critique et a d\u00e9crit des vuln\u00e9rabilit\u00e9s pr\u00e9sentes dans les machines des principaux fabricants.<\/p>\n","protected":false},"author":665,"featured_media":17893,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2112,3150,3151],"tags":[1183,795,322],"class_list":{"0":"post-17891","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-def-con","11":"tag-infrastructure-critique","12":"tag-vulnerabilites"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/hacking-agriculture-defcon29\/17891\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/hacking-agriculture-defcon29\/23486\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/hacking-agriculture-defcon29\/18963\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/hacking-agriculture-defcon29\/25561\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/hacking-agriculture-defcon29\/23632\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/hacking-agriculture-defcon29\/23075\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/hacking-agriculture-defcon29\/26237\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/hacking-agriculture-defcon29\/25771\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/hacking-agriculture-defcon29\/31695\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/hacking-agriculture-defcon29\/10154\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/hacking-agriculture-defcon29\/42402\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/hacking-agriculture-defcon29\/18279\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/hacking-agriculture-defcon29\/15409\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/hacking-agriculture-defcon29\/27575\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/hacking-agriculture-defcon29\/31802\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/hacking-agriculture-defcon29\/27713\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/hacking-agriculture-defcon29\/24476\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/hacking-agriculture-defcon29\/29838\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/hacking-agriculture-defcon29\/29636\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/def-con\/","name":"DEF CON"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/17891","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/665"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=17891"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/17891\/revisions"}],"predecessor-version":[{"id":17896,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/17891\/revisions\/17896"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/17893"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=17891"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=17891"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=17891"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}