Depuis 2018, Scuba étudie une suite d’outils pour attester de la sécurité des objets connectés et définir leurs vulnérabilités. Il y a une partie domestique (ampoules, interrupteurs, serrures…) et une partie industrielle (centrale, chaîne de montage - ici sur l'image). Des automates industriels, tels qu’on peut trouver dans des entreprises ou des centrales nucléaires ont été reproduits ici à toute petite échelle pour mesurer la vulnérabilité de ce type d’équipement. Les données de fonctionnement normal sont collectées, on essaie de perturber la chaîne pour changer le comportement et repérer les anomalies – parfois on envoie juste de simples messages (fuzzing, par exemple : la machine attend un entier de 0 à 100, on lui envoie 4,6). Un type d’attaque classique est de faire croire à l’opérateur que tout se passe correctement mais en fait ce n’est pas le cas (la chaine ne trie pas ou trie n’importe comment).
N’importe quelle PME peut avoir des automates industriels de ce type : si une attaque ou une perturbation arrête la chaine pendant quelques minutes, voire quelques heures, cela peut être critique pour l’entreprise. L’objectif est de protéger les installations et prévenir les incidents. Il y a souvent des soucis car personne ne s’intéresse aux mises à jour tant que le système fonctionne ! Donc les vulnérabilités restent, à la différence d’un ordinateur ou d’un smartphone où les rappels de mises à jour sont fréquents et à la portée du grand public.
|