Dallas : des sirènes de la sûreté civile non sécurisées

FireEye vient tout juste de publier un rapport détaillant six défauts de sécurité majeurs pour les systèmes industriels. Dans cette liste : des protocoles ne prévoyant pas de mécanisme d’authentification, des systèmes d’exploitation Windows vulnérables, un contrôle faible de l’identité des utilisateurs, ou encore des matériels obsolètes, entre autres. C’est un mélange de plusieurs de ces points qui semble pouvoir expliquer le récent détournement des sirènes de la sûreté civile du comté de Dallas aux Etats-Unis.

Le 9 avril dernier, nos confrères de Reuters rapportaient qu’un piratage informatique avait déclenché ces sirènes - 156, conçues pour alerter la population en cas de forte tempête, afin que chacun puisse se mettre à l’abris - sur une période totale de 90 minutes, en pleine nuit. En fait, jusqu’à ce que le système de commande radio soit manuellement coupé, dans sa totalité, par les équipes du bureau de gestion des urgences. 

La ville de Dallas a confirmé l’incident, indiquant avoir fait appel à la FCC pour « aider à identifier la source de ce détournement ». La police locale, le FBI, et « d’autres agences spécialisées dans ce type d’incident » sont également mobilisés. Et cela pour le réseau de sirènes, mais également tous les systèmes d’importance vitale du comté : eau, réseau de communication radio, gestion des appels d’urgence, de détachement de la police et des pompiers, d’alertes inondation, etc. 

La ville de Dallas s’est pour l’heure refusé à rentrer dans les détails du détournement, mais elle fournit toutefois un début d’indication sur les faiblesses de l’infrastructure détournée : depuis l’incident, « nous avons ajouté des mesures supplémentaires de sécurité au système », dont le chiffrement.  

Mark Loveless, chercheur en sécurité sénior de Duo Security, un spécialiste de l’authentification et du contrôle d’accès, s’est penché sur les premiers éléments fournis tant par la ville de Dallas que par son service de gestion des urgences, ainsi que sur les spécifications des systèmes de sirènes. Et ses conclusions sont l’occasion de nombreux enseignements. 

Il apparaît ainsi que les sirènes sont contrôlés par radio, via de simples signaux DTMF non chiffrés. Le système radio semble lui contrôlé par un système informatique accessible à distance, via une simple application pour iPhone. Mark Loveless déduit des déclarations du service de gestion des urgences que ce système a été très probablement compromis et que l’attaquant a modifié les contrôles d’accès pour empêcher que le réseau de sirène ne soit coupé. 

Mais pour le chercheur, l’intervention de la FCC, qui régule l’utilisation des fréquences radio aux Etats-Unis, laisse à suspecter « qu’il y a aussi eu une forme d’utilisation radio durant l’événement ».  

Quelles que soient ses motivations et son identité, l’attaquant semble en tout cas avoir savamment préparé l’incident, estime Mark Loveless. Celui-ci relève en effet que les sirènes n’ont pas été activées en continu, ce qui aurait pu détruire rapidement les plus anciennes par surchauffe, mais que tout semble avoir été fait pour maximiser la durée de l’incident. Lequel n’a pas manqué de provoquer un début de panique et de saturer le centre d’appel de la police.