Sécurité

Un ingénieur de Google trouve une faille de sécurité aux portes d’une entreprise (Mashable)

Les bureaux de Google sont généralement très modernes, mais sont sujets à des atteintes à la sécurité. En juillet, la société a découvert que son siège californien présentait une faille qui permettait d’ouvrir les portes à serrure électronique sans utiliser le badge de l’employé.

La situation a été révélée au public fin août et, par chance, a été découverte par un employé de Google. Pendant la conférence des pirates informatiques IoT Village, David Tomaschik a raconté comment il a découvert que les personnes sans carte de sécurité RFID pouvaient ouvrir les portes des bureaux.

Tout a commencé lorsqu’il a décidé de tester la sécurité du système et d’envoyer un code malveillant sur le réseau de l’entreprise. Après la tentative, il s’est rendu compte que les lumières de la porte étaient passées du rouge au vert, indiquant qu’elles avaient été déverrouillées.

L’écart se situait au niveau de deux produits fabriqués par Software House, responsable des portes : iStar Ultra et IP-ACM. Ils communiquaient avec les lecteurs de badges et utilisaient le réseau Google pour envoyer des messages cryptés. Cependant, selon l’analyse de Tomaschik, le contenu n’était pas entièrement aléatoire, comme il aurait dû l’être pour être plus sûr.

  Google met en garde contre les plantages du jour zéro dans Chrome et Windows 7

De plus, la même clé de cryptage a été utilisée sur tous les appareils de la Software House. Cela signifie qu’il serait possible pour un cybercriminel de contrôler plusieurs ports avec le même code que celui utilisé lors de la première attaque.

Pour aggraver les choses, les ordres d’ouverture ou de fermeture d’une porte ne laissaient aucune trace, c’est-à-dire que les employés pouvaient être enfermés dehors et que personne ne pouvait identifier le responsable.

Après avoir pris connaissance de la faille de sécurité, Google a agi pour prévenir d’éventuelles attaques. La société a segmenté son réseau pour offrir une meilleure protection et a déclaré qu’il n’y avait aucune preuve que les violations aient été exploitées par des pirates informatiques malveillants.

Software House a adopté la norme de cryptage TLS dans ses produits. L’erreur ne pourra toutefois pas servir les anciens clients, car les systèmes n’ont pas assez de mémoire pour garantir l’installation de nouveaux microprogrammes.

Une solution serait d’effectuer la réparation personnellement, ce qui peut ne pas se produire. Forbes, a entreprise a déclaré avoir averti les utilisateurs de la faille de sécurité, mais n’a pas garanti que les dispositifs seraient réparés.

  Gmail : mélangez vos contacts en double

A propos de l'auteur

Bernard

Actuellement responsable informatique dans une PME, je bosse dans le domaine depuis une vingtaine d'année maintenant. Fan inconditionnel de DBZ, et de la triologie Die Hard. #teamWindows sur Perlmol !

Laisser un commentaire