La sécurité du matériel agricole à la DEF CON 29

Lors de la DEF CON 29, un chercheur a expliqué pourquoi le matériel agricole devrait être considéré comme une infrastructure critique et a décrit des vulnérabilités présentes dans les machines des principaux fabricants.

Une des présentations les plus surprenantes de la conférence DEF CON 29, qui a eu lieu en août, s’intéressait aux vulnérabilités du matériel agricole. Elles ont été découvertes par un chercheur australien connu comme Sick Codes.

Les vulnérabilités qui affectent les grands fabricants John Deere et Case IH n’ont pas été détectées dans les tracteurs et les moissonneuses-batteuses mais dans leurs services Web, que les chercheurs connaissent beaucoup mieux. Grâce à ces failles, il était possible de prendre directement le contrôle de matériel très couteux qui pèse plusieurs tonnes, ce qui peut s’avérer très dangereux.

Machines agricoles modernes

Pour les personnes qui s’y connaissent peu en agriculture moderne, le prix d’une machine peut sembler astronomique. Lors de son intervention, Sick Codes a expliqué pourquoi les tracteurs et les moissonneuses-batteuses sont aussi chers. Les meilleures machines agricoles modernes sont informatisées et automatisées à un niveau assez avancé. L’ensileuse série 9000 de John Deere est l’exemple parfait puisqu’elle est promue de cette façon :

Pourtant, son moteur V12 de 24 litres et son prix à six chiffres ne sont pas les aspects les plus importants. L’annonce commerciale énumère les capacités techniques de cette machine : système d’orientation dans l’espace, flux de récolte automatique, ou encore capteurs d’emplacement et synchronisation avec le camion qui reçoit les grains coupés. En plus de cela, Sick Codes ajoute le contrôle à distance et la capacité du service technique à se connecter directement à la machine en cas de panne. C’est là qu’il fait une revendication audacieuse : l’agriculture moderne dépend entièrement d’Internet.

Modèle de menace pour le matériel agricole

Comme on pouvait s’y attendre, ce matériel dernier cri est rempli de technologies modernes : GPS conventionnel, positionnement 3G/4G/LTE, systèmes de communication ou encore techniques de navigation inertielle pour déterminer l’emplacement sur le sol à quelques centimètres près. Le modèle de menace conçu par Sick Codes repose sur des concepts informatiques et est assez menaçant lorsqu’il devient réalité.

À quoi ressemble une attaque par déni de service dans la vie réelle ? Imaginons que nous puissions modifier certains paramètres du logiciel pour l’épandage d’engrais au sol et augmenter la dose de façon significative. Nous pourrions facilement rendre le terrain inexploitable pour les prochaines années voire décennies.

Et qu’en est-il de cette autre théorie un peu plus simple : nous prenons le contrôle de la moissonneuse-batteuse et nous en servons pour endommager une ligne électrique, par exemple. Nous pouvons aussi la pirater pour perturber la récolte et engendrer de grosses pertes à l’agriculteur. À échelle nationale, ces  » expériences  » pourraient menacer la sécurité alimentaire. Le matériel agricole connecté est donc une infrastructure vraiment critique.

Selon Sick Codes, la protection mise en place par les fournisseurs de ces technologies et de ces infrastructures laisse beaucoup à désirer. Voici ce qu’il a découvert avec les membres de son équipe.

Attaque par force brute du nom d’utilisateur, mot de passe codé en dur et bien d’autres

Certaines des vulnérabilités de l’infrastructure John Deere présentées lors de cette conférence ont aussi été décrites dans un article publié sur le site du chercheur. Sick Codes a d’abord créé un compte légitime de développeur sur le site de l’entreprise (même s’il a oublié le nom qu’il avait utilisé). Alors qu’il essayait de s’en souvenir, il a découvert quelque chose d’inattendu : l’API lançait une recherche de noms d’utilisateur chaque fois qu’il écrivait une lettre. Une simple vérification a révélé, qu’en effet, les noms d’utilisateurs déjà dans le système peuvent être attaqués par force brute.

Noms d'utilisateur et attaque par force brute

Noms d’utilisateur et attaque par force brute. Source

La limite habituelle du nombre de demandes à partir d’une adresse IP pour ces systèmes n’a pas été établie. En quelques minutes seulement, Sick Codes a envoyé 1000 demandes et a vérifié si les noms d’utilisateur correspondaient au nom des entreprises du classement Fortune 1000. Il a obtenu 192 résultats.

L’autre vulnérabilité a été découverte dans un service interne qui permet aux clients de conserver un historique du matériel acheté. Comme Sick Codes l’a constaté, n’importe qui ayant accès à cet outil peut voir les informations de n’importe quel tracteur ou moissonneuse-batteuse figurant dans la base de données. Les droits d’accès à ces données ne sont pas vérifiés. De plus, ces informations sont relativement confidentielles : propriétaire du véhicule, adresse, etc.

Lors de la DEF CON 29, Sick Codes en a révélé un peu plus que sur son site. Par exemple, il a réussi à accéder au service qui gère le matériel de démonstration, y compris l’historique complet des démonstrations et les données personnelles des employés. Enfin, son collègue a détecté une vulnérabilité dans le service d’entreprise Pega Chat Access Group, avec un mot de passe administrateur codé en dur. Cela lui a notamment permis d’obtenir les clés d’accès au compte client de John Deere. Il est vrai que Sick Codes n’a pas expliqué en détail le contenu ouvert par cette clé, mais il s’agirait d’un autre ensemble de services internes.

Pour équilibrer, Sick Codes a aussi présenté certaines vulnérabilités qui affectent le concurrent européen de John Deere : Case IH. Dans ce cas, il a pu accéder à un serveur non sécurisé Java Melody qui supervise certains services du fabricant, ce qui lui a permis d’obtenir des informations détaillées sur les utilisateurs et a révélé la possibilité, du moins en théorie, de pirater n’importe quel compte.

Contacter les entreprises

Pour des raisons d’équité, il convient de souligner que Sick Codes n’a pas trouvé de lien direct entre les menaces mentionnées et les vulnérabilités détectées. Peut-être est-ce pour ne pas mettre en danger les agriculteurs ordinaires, ou tout simplement parce qu’il n’a vraiment pas trouvé de lien. A partir de ces simples failles de sécurité détectées, il en a conclu que la culture de sécurité de ces entreprises est faible, ce qui nous laisse en déduire que la sécurité en cas de tentative de prise de contrôle de la moissonneuse-batteuse serait la même. Tout cela n’est que pure hypothèse.

Les problèmes du site de l’entreprise ont été corrigés mais les messages des chercheurs n’ont reçu aucune réponse. À vrai dire, ils ont eu une réponse, mais elle était plutôt étrange. Après que les vulnérabilités aient fait la une en avril de cette année, un message énigmatique a été publié sur le compte Twitter officiel de l’entreprise : « Prévision météo de cette semaine : entre un et trois centimètres de non-sens. » Au même moment, un poste d’ingénieur en sécurité a été mis en ligne et la date d’incorporation était écrite en majuscules : IMMÉDIATE.

Le droit de réparer

En 2017, le magazine Vice a rédigé un article sur les problèmes rencontrés par les propriétaires de matériel agricole John Deere. De nombreux programmes et hardwares ont des verrous qui empêchent les utilisateurs de réparer les machines eux-mêmes. Techniquement, chaque substitution est censée être « enregistrée » dans l’ordinateur de contrôle du matériel ou dans la base de données du fournisseur. Mais les contacts officiels sont longs et coûteux. Les agriculteurs choisissent souvent un micrologiciel illégal qui leur permet de délier la machine de son fabricant.

C’est un très bon exemple pour un débat sur le droit à la réparation : il s’avère que les clients de l’entreprise ne possèdent pas ce qu’ils achètent. Ils louent le matériel (à plein tarif) et doivent avoir recours aux services d’entretien du fabricant, même s’ils n’en ont pas envie. Le vendeur mentionne souvent la sécurité comme raison principale, et notamment le besoin d’éviter qu’une unité de contrôle non autorisée puisse, par exemple, avoir accès à une machine complexe. Sick Codes a logiquement demandé : quelle sécurité offrez-vous de toute façon vu qu’il y a de telles failles dans les programmes ?

À la fin de son rapport, Sick Codes a présenté le module de contrôle de John Deere équipé de la puce cellulaire Qualcomm et a énuméré une liste interminable de vulnérabilités critiques récemment découvertes. Il s’agit évidemment d’un argument qui n’a pas beaucoup de poids : les vulnérabilités doivent encore être exploitées et le simple fait de trouver des bugs n’apporte pas grand-chose.

Le nombre de vulnérabilités importe peu, le plus important est la capacité à les détecter et a rapidement les corriger. Sick Codes a essayé de convaincre le public que le matériel agricole est aussi peu protégé que le matériel médical. Quelle que soit l’authenticité de cette affirmation, le problème doit encore être abordé, et cela passe d’abord par une conversation avec les fabricants. Ce n’est que dans l’intérêt de ces derniers de tenir compte des avertissements donnés par les hackers éthiques, et avant que les cybercriminels n’en profitent.

Conseils