Des hôpitaux et grandes enseignes ne protègent pas leur climatiseur

Posted On 18 Fév 2019

Tag: contrôle, faille, réfrigération, shodan, température

Un problème de sécurité touche les systèmes de contrôle de température fabriqués par la société Resource Data Management.

La société Safety Detective vient de dévoiler une fuite qui vise les systèmes de contrôle de température fabriqués par la société britannique Resource Data Management. Les systèmes de réfrigération de RDM sont utilisés par de grands groupes internationaux tels que Marks & Spencers ou encore l’Aérogare de Roissy ou encore la Gare de l’Est, à Paris. Plus important encore, des hôpitaux utilisent aussi ce type de matériel.

Ces systèmes de réfrigération peuvent être facilement piratés car comme le démontre Safety Detective. Du matériel qui utilise un protocole HTTP. Non sécurisé. pas de HTTPS. De plus, un grand nombre de propriétaires n’ont changé ni le nom générique, ni le mot de passe usine. mots de passe disponibles sur le guide d’utilisation en ligne.

Google, Shodan …

Les URLs de ces systèmes ont donc pu être utilisés en se servant d’une recherche Google. Pas besoin de créer d’identifiants ou mots de passe. Les chercheurs ont mené une recherche plus approfondie après que Resource Data Management ait annoncé qu’il ne s’agissait pas de réfrigérateurs mais de routeurs.

Le laboratoire découvre 319 établissements affectés dans le monde. 10 606 machines étaient toujours accessibles d’accès en ligne.

Altération des aliments possible

Cette étude dévoile une faille pouvant entraîner d’importantes pertes financières, une altération des aliments et des problèmes de santé.

Pour cette recherche, 7 419 sites sont remontés via le moteur de recherche Shodan. 2 215 URL fournissant le code d’état « OK200 » contrôlés. Il s’agissait de sites réels, et non des routeurs. 380 résultats en sont sortis. 319 sites ouverts. Les réfrigérateurs accessibles à quiconque bénéficiant d’un lien, y compris 10 hôpitaux au Royaume-Uni.

Les 24 premières URL de la liste : USA, Malaisie, France, Uk, Nouvelle-Zélande, Australie, Canada, Pays-Bas. Sur ces 24 sites, 798 machines impactées, soit 33,25 réfrigérateurs par site.

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.