Vidéo: Zombie Apocalypse Survival Hacks! Episode 12 (Novembre 2024)
Vous avez peut-être entendu parler de l'alerte de diffusion d'urgence plus tôt cette semaine, avertissant que des zombies attaquaient des personnes.
Ne paniquez pas encore, car c'était un canular. Selon certaines informations publiées, des auteurs inconnus auraient piraté le système d'alerte utilisé par plusieurs chaînes de télévision aux États-Unis et diffusé une fausse alerte indiquant que "les morts étaient en train de sortir de leur sépulture". Les stations du Michigan, du Nouveau-Mexique et du Montana font partie des personnes touchées.
Ce qui devrait nous inquiéter tous, c’est le fait qu’il existe des vulnérabilités critiques dans le matériel et les logiciels utilisés dans ces dispositifs d’alarme d’urgence, a dit Cesar Cerrudo, CTO de la société de sécurité IOActive, par courrier électronique. Mike Davis, chercheur principal chez IOActive, a découvert un certain nombre de vulnérabilités critiques dans les dispositifs EAS utilisés par de nombreuses stations de radio et de télévision à travers le pays, a-t-il déclaré. Ces vulnérabilités permettraient à des attaquants de compromettre à distance des périphériques et de diffuser des messages EAS.
Depuis que IOActive a détecté une partie des périphériques directement connectés à Internet, les chercheurs pensent qu'il était probable que les attaquants exploitaient certaines de ces failles.
Au lieu de plaisanter sur une apocalypse zombie, les assaillants auraient facilement pu alerter sur une fausse attaque terroriste. "Cela ferait vraiment peur à la population et, en fonction de la manière dont l'attaque serait menée, cela pourrait avoir des conséquences dramatiques", a averti Cerrudo.
Mots de passe par défaut d'une porte déverrouillée
"Une attaque" de la porte arrière "a permis au pirate d'accéder à la sécurité des équipements EAS", a déclaré la directrice de la station ABC 10, Cynthia Thompson, sur le blog de la station. Thomspon a également affirmé que le pirate informatique avait été "retrouvé".
La «porte dérobée» s’est avérée être un mot de passe par défaut, du moins pour certains appareils.
La FCC a également émis cette semaine un avis urgent aux radiodiffuseurs leur demandant de déployer les dispositifs EAS derrière un pare-feu et de modifier les comptes d'utilisateur et les mots de passe par défaut. Si les mots de passe ne peuvent pas être modifiés, l'avis a incité les radiodiffuseurs à déconnecter le périphérique EAS d'Internet "jusqu'à ce que ces paramètres aient été mis à jour".
Selon Reuters, Monroe Electronics, basée à New York, a confirmé que les dispositifs CAP EAS de la société faisaient partie des boîtiers compromis dans le cadre de ce canular. Certaines des stations n'avaient pas changé le mot de passe par défaut défini en usine après la configuration des appareils, et les pirates ont utilisé les informations contenues dans les documents de support accessibles au public pour se connecter et insérer le faux avertissement, a rapporté Reuters.
"Ils ont été compromis parce que la porte d'entrée était restée ouverte. C'était comme si on leur disait:" Entrez dans la porte d'entrée "", a déclaré à Reuters Bill Robertson, vice-président de Monroe.
Dispositifs non sécurisés
IOActive a contacté CERT avec ses découvertes il y a près d'un mois, et CERT coordonne avec le fournisseur pour résoudre les problèmes, a déclaré Cerrudo. Les chercheurs d'IOActive espèrent que les problèmes seront résolus sous peu afin de pouvoir discuter de leurs conclusions lors de la conférence sur la sécurité de la RSA à San Francisco plus tard ce mois-ci.
Même s'il manque beaucoup de détails sur le canular de l'apocalypse zombie, il est clair que de nombreux dispositifs EAS ne sont pas très sécurisés. Bien que ces périphériques aient pour objectif principal de coder et de décoder les messages et de les programmer pour leur diffusion, il s'agit également de périphériques en réseau offrant des fonctionnalités telles que l'envoi et la réception de courrier électronique, l'hébergement de fichiers et le téléchargement d'autres contenus à partir du Web.
Si les failles de sécurité des systèmes EAS semblent un peu familières, elles le sont. Il existe de nombreux parallèles avec les vulnérabilités découvertes récemment dans les dispositifs médicaux et les systèmes de contrôle industriels qui alimentent les systèmes d'approvisionnement en eau, le réseau électrique et les usines de fabrication du pays. Ces systèmes ont tous été développés à l'origine en tant que systèmes isolés. La sécurité n'était donc pas une considération primordiale. Maintenant que ces appareils sont de plus en plus connectés au réseau de l'entreprise et à Internet, les problèmes de sécurité deviennent criants.
Pour en savoir plus sur Fahmida, suivez-la sur Twitter @zdFYRashid.
