Hacker Sick Codes dit que la cybersécurité dans l’agtech n’est pas un jeu après le piratage viral du tracteur John Deere

by · October 22, 2022

Hacker Sick Codes dit que la cybersécurité dans l’agtech n’est pas un jeu après le piratage viral du tracteur John Deere

Un hacker australien a tiré un coup de semonce sur la sécurité du matériel agricole informatisé après avoir pénétré par effraction dans les commandes d’un tracteur John Deere pour y installer le jeu vidéo DOOM.

Sa manipulation de l’écran basé sur Linux – présenté ce mois-ci lors de l’une des plus grandes conventions de hackers au monde, DEF CON 30 à Las Vegas – a soulevé des inquiétudes quant aux risques pour la chaîne d’approvisionnement alimentaire et a suscité un débat sur la question de savoir si les agriculteurs devraient être autorisés à réparer leur propres machines.

Décrit comme un hacker “chapeau blanc”, Sick Codes est un chercheur en sécurité qui s’introduit dans les systèmes pour identifier les vulnérabilités, puis alerte l’entreprise afin qu’elle puisse corriger les bugs.

Il a déclaré que sa motivation pour le projet, devenu depuis viral dans les milieux du jeu, de l’agriculture et de la technologie, était de montrer aux agriculteurs qu’il était possible de prendre le contrôle de leur équipement, mais aussi d’inciter les entreprises à donner la priorité à la sécurité de ces systèmes.

«Il y a des problèmes qui doivent être résolus… ils sont [John Deere] la principale société de cybersécurité en ce moment et je continue de les pirater », a-t-il déclaré.

“Je me demande ce que font les autres. Certaines des autres entreprises, personne ne les a regardées, je me demande quelles sont les surprises.”

L’explosion de la technologie agricole signifiait que de nombreuses entreprises se démenaient pour développer de nouveaux produits, mais Sick Codes a déclaré que beaucoup n’investissaient pas activement dans la sécurité.

“Les acteurs de la menace savent que l’agriculture est une industrie sous-sécurisée, ils savent que c’est une cible mûre pour les ransomwares”, a-t-il déclaré.

“Il y a un peu une course aux armements en cours … vous devez mettre la sécurité sur la table tôt avant que les choses ne tournent mal.”

La cybersécurité n’est pas un jeu

L’écran DEF CON 30 était l’aboutissement d’un projet d’un an.

“J’ai pu supprimer le logiciel de l’écran du tracteur John Deere, puis le modifier de manière significative”, a-t-il déclaré.

“J’ai passé quelques mois à le démonter et à le bricoler, non seulement avec le matériel mais aussi avec le logiciel.”

Il a installé une version modifiée du jeu de tir à la première personne vintage DOOM sur l’ordinateur du tracteur, une méthode couramment utilisée par les pirates pour démontrer à quel point ils ont accès à un système.

“Cela signifie à peu près que je suis le patron du système”, a-t-il déclaré.

“Si vous êtes en mesure d’installer Doom et de jouer au jeu sur un appareil, cela signifie à peu près que vous l’avez chronométré, que vous avez gagné l’appareil, il n’y a plus rien à faire.”

Dans un communiqué, John Deere a déclaré que sa priorité absolue était de protéger les clients, leurs machines et leurs données.

Image de machines John Deere.
John Deere dit qu’il embrasse la communauté plus large du piratage éthique dans ses efforts pour protéger le rôle que jouent les clients dans l’approvisionnement alimentaire.(Téléphone fixe)

“Les capacités démontrées par Sick Codes lors de sa récente présentation au DEF CON ont été obtenues grâce à un accès physique invasif/persistant, au démontage d’un produit matériel et à la rétro-ingénierie de logiciels propriétaires”, indique le communiqué.

“A aucun moment, l’équipement, le réseau ou les données d’un client ou d’un revendeur n’ont été menacés.”

En plus de son équipe de sécurité interne, la société a déclaré qu’elle travaillait avec des partenaires de cybersécurité tels que HackerOne et la communauté plus large du piratage éthique sur les fonctionnalités de sécurité.

Les prétentions des fabricants tombent à plat

La démonstration DEF CON a également attiré l’attention des défenseurs du droit à la réparation comme Kyle Wiens, dont la société iFixit publie des manuels de réparation gratuits et des guides pour les consommateurs.

Le co-fondateur d'iFixit, Kyle Wiens, enquête sur l'iPhone X est une usine de Sydney.
Le co-fondateur d’iFixit, Kyle Wiens, a déclaré que le piratage révélait des failles dans les arguments des fabricants.(ABC Nouvelles: Jake Sturmer)

Il a déclaré que les entreprises soutenaient souvent que leur technologie était une propriété intellectuelle précieuse ou trop complexe pour une auto-réparation, mais le piratage a montré qu’une grande partie du code John Deere provenait de la communauté libre et open source.

Wiens a déclaré que la démonstration a mis en évidence un problème plus large avec la façon dont le secteur de la technologie agricole se développait.

“Du point de vue de la sécurité alimentaire, nous avons des entreprises irresponsables qui gagnent beaucoup d’argent, empêchant les agriculteurs de faire des réparations, mais ne dépensant pas non plus les ressources dont ils ont besoin pour sécuriser l’infrastructure”, a-t-il déclaré.

“Le travail que Sick Codes a fait prépare vraiment le terrain, il prépare le terrain pour que les propriétaires reprennent le contrôle.”

Dans une soumission à l’enquête de la Commission de la productivité de l’année dernière sur le droit de réparer, la branche australienne de John Deere Limited (JDL) a souligné les “risques pour l’environnement, la sécurité et la propriété intellectuelle” d’un accès non réglementé aux logiciels.

“C’est l’une des principales raisons pour lesquelles John Deere soutient le droit de nos clients d’entretenir et de réparer leur équipement, mais pas le droit de modifier le code intégré dans l’équipement”, indique la soumission.

“JDL rejette toute affirmation selon laquelle les propriétaires d’équipements John Deere sont empêchés ou restreints d’effectuer des réparations.”

Demande l’extension du droit à la réparation

Leanne Wiseman, professeure de droits de propriété intellectuelle (PI) à l’Université Griffith, a accueilli la deuxième réunion australienne sur les réparations qui s’est tenue à Canberra en août.

Le professeur Wiseman a déclaré que certaines entreprises comme Apple et Samsung avaient changé leur approche de l’auto-réparation, mais que d’autres utilisaient encore la sécurité ou les droits de propriété intellectuelle pour éloigner les consommateurs.

Image d'une femme
Le professeur Leanne Wiseman souhaite que les machines agricoles soient soumises aux mêmes lois sur les informations de réparation que les voitures.(Téléphone fixe)

“Une grande partie des réparations qui doivent être effectuées, il peut s’agir de changer un fusible, de changer un pare-brise ou de changer une ampoule, ces choses n’affecteront pas la propriété intellectuelle des fabricants”, a-t-elle déclaré.

“Certains des systèmes et de la propriété intellectuelle de ces tracteurs ne sont pas aussi sophistiqués qu’ils le prétendent et ils sont vulnérables.”

Elle espérait que le nouveau gouvernement fédéral donnerait suite aux recommandations du rapport de la Commission sur la productivité, notamment en étendant le système obligatoire de partage de données qui obligeait les constructeurs automobiles à mettre les informations de service à la disposition de tous les réparateurs à un coût raisonnable pour couvrir les machines agricoles.

Dans son discours liminaire au sommet, le ministre fédéral adjoint de la Concurrence, Andrew Leigh, a reconnu le rapport de la Commission de la productivité, qui a été déposé en décembre 2021 sous le gouvernement précédent.

“Il existe des opportunités de réduire davantage les obstacles à la réparation des produits sur certains marchés, et le gouvernement australien souhaite poursuivre des réformes fondées sur des preuves et cibler les secteurs où cela serait le plus bénéfique”, a déclaré le Dr Leigh.

Les tracteurs piratés sont risqués, dit un pirate

Sick Codes a averti que s’il était possible pour les agriculteurs de pirater leur équipement, il y avait des risques.

“Cela vous expose à des virus et à des choses comme ça si vous faites des erreurs et qu’il existe des sites Web et des choses qui vous attaqueront”, a-t-il déclaré.

“Mais pour les tracteurs… si vous êtes assez intelligent, si vous avez suffisamment de temps pour apprendre vous-même ou demander à quelqu’un de vous apprendre à faire certaines des choses que j’ai démontrées, alors c’est tout à fait possible.”

Related posts:

  1. Hacker Sick Codes dit que la cybersécurité dans l’agtech n’est pas un jeu après la cascade virale du tracteur John Deere
  2. Le piratage d’un tracteur John Deere expose l’approvisionnement alimentaire vulnérable à une cyberattaque
  3. Vous payez plus lorsque les entreprises se font pirater
  4. Les ponts de la blockchain tombent en eaux troubles
See also  Entertainment Feature: Our most anticipated games of 2023: Spider-Man 2, Zelda, Star Wars and more

Tags:

You may also like...

Leave a Reply

Your email address will not be published. Required fields are marked *