[
Bits raconte que Cesar Cerrudo, chef de la technologie chez IOActive Labs et chercheur en sécurité a démontré il y a un an que les systèmes de contrôle de la circulation installés dans les grandes mégalopoles comme Washington, New York, Melbourne (Australie), et il a même ciblé Lyon, ne sont pas suffisamment sécurisés.
Sur un post de blog datant d’avril 2014, Cesar Cerrudo explique qu’après avoir acquis les bons outils, trouver des failles dans les systèmes de contrôle n’est pas compliqué :
« Les failles que j’ai trouvées permettent à n’importe qui de prendre le contrôle complet des dispositifs et d’envoyer de mauvaises données au système de contrôle. Fondamentalement tout le monde peut produire un désordre dans la circulation.
Une attaque avec un simple programme et un logiciel pas cher (de 100 dollars ou moins) suffit. J’ai aussi testé une attaque avec un drone qui volait a 650 pieds (environ 200 mètres, ndlr). »
Des villes à protéger « comme des entreprises »
Selon lui, il serait également possible de créer des sortes de virus « self-replicating malware » qui pourrait infecter les systèmes de contrôle à un instant précis, décidé à l’avance par le pirate.
« En exploitant les failles que j’ai trouvées, une personne mal intentionnée pourrait causer des embouteillages et des problèmes aux intersections, sur les auto-routes et les routes. »
Ainsi, il serait assez simple de modifier toutes les consignes dictées par les systèmes électroniques :
« Il est possible de modifier les « consignes lumineuses » suivant la configuration, de laisser un feu vert pendant plus ou moins longtemps ou de laisser un feu rouge et de ne pas le changer en vert. (…)
Il est aussi possible de modifier les consignes électroniques affichées sur la route, comme les limitations de vitesse… »
Pour Cesar Cerrudo, les maires devraient commencer à penser leurs villes comme des « surfaces d’attaque » qui nécessitent d’être protégées comme n’importe quelle entreprise.
L’expert informatique a déjà alerté les fournisseurs de ces systèmes, qui ne semblent pas s’en être inquiétés. Cesar Cerrudo a écrit un rapport qu’il devrait présenter cette semaine à San Francisco à la conférence annuelle du RSA sur la sécurité.
A la Métropole de Lyon, « un système de sécurité indépendant »
Nous avons contacté les services de la Métropole de Lyon, et c’est Pierre Soulard, responsable du service mobilité urbaine, qui nous a répondu.
Le dispositif de contrôle de la circulation appartient à la Métropole. Il s’agit d’un système d’information centralisé qui s’appelle le « PC CRITER ». La structure contrôle les carrefours à feux, les panneaux à messages variables, les caméras de surveillance, ou encore les capteurs au sol qui analysent le trafic routier.
« On a mis en place une architecture décentralisée. Il y a de l’intelligence au niveau du système central, mais il y a aussi de l’intelligence au niveau de chacun des carrefours à feux, ce qui fait que si le système central est défaillant le carrefour à feux continue de tourner et reste sécurisé. »
En ce qui concerne les possibilités de failles dans le système, pas d’inquiétude selon Pierre Soulard :
« Par principe en tant que technicien et face à des questions de sécurité, on fait l’hypothèse qu’il est possible d’être piraté, pour imaginer les solutions de protection. Mais sur l’aspect purement technique, toutes nos informations transitent par un réseau qui nous appartient. On a des fibres optiques qui sont à nous dans les rues de Lyon. C’est notre réseau, on ne passe pas par Internet, on ne passe pas par un réseau de Télécom. »
Et de préciser :
« On est vraiment dans un réseau de communication hermétique à l’extérieur. Les rares liens qui pourraient exister, c’est quand on fait du partage d’information avec les collègues de l’État. Mais là on a mis en place à différents échelons ce qu’on appelle des pare-feux, les « fire-wall » bien connus dans le domaine de l’informatique, qui permettent de s’assurer qu’il n’y a pas d’intrusion possible dans le site. »
> Article mis à jour avec les explications des services techniques de la Métropole.
Chargement des commentaires…