Des chercheurs en sécurité viennent de pointer des failles dans les protections de deux robots particulièrement populaires, les rendant fortement vulnérable à une attaque de rançongiciel. Un risque d’importance, car ce type d’attaque pourrait paralyser certaines sociétés.
Les robots humanoïdes semblent avoir le vent en poupe, sur le marché porteur de l’intelligence artificielle : mais leur déploiement à grande échelle nécessite, de toute urgence, une amélioration de leur protocole de sécurité, bien trop poreux pour l’instant. A l’instar de tous les objets connectés, ils peuvent être une porte d’entrée privilégiée pour les cybercriminels.
Un robot qui insulte ses « maîtres » et réclame du bitcoin pour reprendre le travail !
Des chercheurs en sécurité de IOActive viennent de tester – avec succès – une attaque sur le robot NAO, fabriqué par Softbank, et l’infecter avec un ransonware. Ne manquant pas d’humour, l’équipe a programmé le logiciel malveillant pour que le robot se mette à cesser de travailler, lance des injures à la cantonade, et demande à être nourri avec du bitcoin pour reprendre sa tâche !
D’après les chercheurs, cette attaque, rendue possible en accédant au réseau Wifi qui envoie des ordres à NAO, aurait eu les mêmes effets sur le robot Pepper. « L’attaque peut provenir d’un ordinateur ou d’un autre terminal connecté à Internet. Ainsi, un ordinateur est piraté, et à partir de là, le robot peut être piraté car il se trouve dans le même réseau que l’ordinateur compromis » détaille César Cerrudo, directeur technologique d’IOActive Labs.
Un robot inactif fait perdre de l’argent à chaque seconde
Et, pour amusante qu’elle soit, cette attque montre avec éclat les défauts de sécurisation de ces nouveaux outils. Le soucis, c’est que l’activité d’une société peut dépendre de celle de ses robots – une aubaine pour les pirates.
« Pour contraindre le patron d’une entreprise à payer une rançon à un pirate, vous pouvez faire en sorte que les robots cessent de fonctionner et, parce que les robots sont directement liés à la production et aux services, le fait qu’ils cessent de travailler entraînera un problème financier pour le gérant, perdant de l’argent pour chaque seconde d’inactivité » a expliqué César Cerrudo.
En effet, débugger un robot piraté peut prendre beaucoup de temps, et parfois impose un retour au fabricant. Dans le cas d’une entreprise utilisant plusieurs dizaines de ces auxiliaires robotiques, le manque à gagner peut très vite grimper en flèche. Et le paiement d’une rançon être perçu par les dirigeants comme un moindre mal… Raison pour laquelle les hackers risquent de viser particulièrement ces derniers-nés de la technologie.
Une sécurisation rapide s’impose
« Même si nous ne côtoyons pas des robots au quotidien, ceux-ci sont amenés à se démocratiser prochainement et des entreprises du monde entier déploient des robots pour différents services Si nous ne commençons pas dès à présent à sécuriser les robots, et si en plus ces robots mis en service sont faciles à pirater, les conséquences seront très graves » remarque Cerrudo.
D’autant que les possibilités actuellement offertes aux cybercriminels sont nombreuses – plus de cinquante vulnérabilités différentes ont été repéré par les chercheurs d’IOActive – et aux conséquences variées : « Interruption complète, contenu pornographique sur l’affichage digital du robot, injures, et même mouvements violents ! Le robot infecté pourrait également être une porte d’entrée vers le réseau interne de l’entreprise, fonctionnant comme une backdoor et offrant aux pirates un point d’entrée pour dérober des données sensible » liste Lucas Apa, co-responsable de l’étude.
Les fabricants se veulent rassurants… mais font craindre une épidémie !
Du coté de Softbank, un porte-parole a affirmé que l’entreprise continuait d’améliorer sans cesse la sécurité des robots. IOActive se veut beaucoup plus pessimiste, doutant de la possibilité technique de résoudre ce problème sans modifier l’ensemble de l’architecture et du design actuels des robots.
Comme si l’histoire des objets connectés se rejouaient devant nous : des chercheurs en sécurité qui pointent des faiblesses, des entreprises qui disent y travailler et qu’il ne faut surtout pas s’inquiéter… et, au bout du compte, des épidémies de botnet et de ransonware…