Des systèmes d'irrigation connectés déployés en Israël avec un nom d'utilisateur par défaut et sans mot de passe

Des chercheurs en sécurité ont découvert que plus de 100 systèmes d’irrigation connectés en Israël étaient accessibles en ligne, sans aucune protection, pas même un simple mot de passe.

Même si l’Internet des Objets (IoT) comprend également de petits appareils cools ayant des applications commerciales amusantes, la majeure partie du matériel est invisible et intégrée dans diverses industries. Qu’il s’agisse de capteurs à distance ou de systèmes d’origine, il semble que la mauvaise réputation en matière de sécurité que les appareils connectés ont acquise au fil du temps se vérifie dans tous les secteurs.

Les chercheurs de Security Joes ont découvert que plus de 100 systèmes d’irrigation exécutant un système d’exploitation propriétaire nommé ICC PRO de Motorola ont été déployés avec des informations d’identification par défaut et sans mot de passe. Contrairement à de nombreuses situations, dans lesquelles des pirates exploitent du matériel IoT via des vulnérabilités, ce cas était purement dû à une négligence. Il s’avère que celui qui a déployé les systèmes l’a fait en les laissant avec les paramètres d’usine, ce qui signifie sans mot de passe. Tout le monde peut s’être connecté en utilisant le nom d’utilisateur par défaut.

Cela ne semble pas être grand-chose, mais les systèmes d’irrigation se trouvent en Israël, une zone géographique peu connue pour ses précipitations. Les hackers malveillants auraient pu trouver les systèmes et déverser toute l’eau d’un coup, détruisant les cultures et générant une crise alimentaire potentielle ou une pénurie d’eau.

Selon un rapport de ZDNet, les chercheurs ont informé le CERT Israël, qui a contacté les propriétaires des systèmes. Motorola a envoyé un bulletin informant les clients de configurer les informations d’identification pour le matériel acheté. Malgré cela, quelques dizaines de systèmes d’irrigation ne sont toujours pas garantis.

Il n’est pas surprenant qu’Israël ait à nouveau des problèmes de cyberattaques visant ses systèmes d’eau. Un rapport Ynet d’avril a révélé que des pirates ont récemment frappé deux installations d’eau en Haute Galilée et Judée, mais l’Autorité officielle de l’eau a déclaré n’avoir enregistré aucun dommage.

Étant donné que l’industrie de l’eau est si cruciale dans cette zone, il est probable que d’autres attaques seront déployées à l’avenir. Et garder un certain nombre de systèmes d’irrigation non sécurisés est tout sauf recommandé…