Une faille de sécurité majeure a été découverte dans les équipements du fabricant écossais de contrôle de température RDM.
Selon les experts de Safety Détective, les systèmes de contrôle de température commercialisés par RDM sont susceptibles d’être attaqués par des hackers. Et ceci alors même que ces équipements sont utilisés notamment par des hôpitaux et des supermarchés au Royaume-Uni mais aussi en Australie, Israël, Allemagne, Pays-Bas, Malaisie, Islande et de nombreux autres pays(*). Parmi les sites exposés figuraient, par exemple, un entrepôt frigorifique à Düsseldorf et la chaîne de magasin anglaise Marks and Spencer ou encore l’un des plus grands laboratoires pharmaceutiques malaisiens. Plus de 10 000 appareils seraient ainsi vulnérables. Tous, selon les spécialistes, utilisent le protocole HTTP non sécurisé qui fait que toutes les données transitent de manière non chiffrée et qu'un attaquant peut réussir à intercepter la communication et lire les identifiants en clair. Le principal problème réside surtout dans la combinaison "nom d'utilisateur / mot de passe" par défaut, (à savoir 1234) que les utilsateurs ne modifient pas. Les experts informatiques affirment qu’il est ainsi possible aux hackers d'accéder à des fonctions d'administration et de modifier les paramètres de l’équipement frigorifiques comme par exemple les paramètres de l’alarme. D'autant que l'accès à ces appareils peut être trouvé grâce à une simple recherche google. Suite à cette alerte, le fabricant RDM a indiqué qu’il écrirait à tous ses clients, installateurs et distributeurs connus, leur rappelant l’importance de changer les noms d’utilisateur et les mots de passe par défaut lors de l’installation et de la configuration. Un spécialiste français que nous avons contacté signale que désormais les constructeurs mettent en place des mécanismes pour générer un mot de passe unique lors du paramétrage initial, d’autres systèmes créent un mot de passe différent à chaque utilisation. En outre, en Californie une loi est déjà passée en septembre pour interdire les appareils configurés par défaut avec des mots de passe de niveau de sécurité trop faible. Prévue pour entrée en vigueur le 1er janvier 2020, elle concerne donc tous les appareils conçus pour fonctionner en étant connecté à Internet. (*) La France n’est pas été citée dans les diverses sources que nous avons consultées…)