Les objets connectés du quotidien (bracelet, réfrigérateur...) ne sont pas forcément les seuls appareils menacés par les hackers. Une entreprise spécialisée dans la sécurité informatique a réalisé une démonstration prouvant que les bras robotiques utilisés dans les usines sont aussi vulnérables à ce genre d'attaque.

Et si le plus gros frein à l’essor de la robotique, qui entraîne la disparition de certains métiers, tenait à la vulnérabilité au piratage de certains appareils industriels connectés ? C’est l’une des principales questions soulevées par la démonstration réalisée par l’entreprise de sécurité informatique Trend Micro, avec l’aide de l’École polytechnique de Milan.

Dans un long rapport, Trend Micro explique le sens de cette démarche accomplie après une année et demie de travail : «  Les robots seront bientôt omniprésents dans les usines modernes et il faut donc se demander si l’écosystème actuel de robots industriels est suffisamment sécurisé pour résister à des cyber-attaques. C’est la question que […] nous avions en tête au moment de nous pencher sur les attaques concernant les robots industriels. Nous voulions surtout prouver s’il était vraiment possible de les détourner. »

Mission accomplie, et immortalisée dans une vidéo publiée en parallèle à l’explication des différents cas de piratage possibles, qui vont bien au-delà des habituels détournements d’objets connectés de moindre envergure comme de « simples » bracelets, thermostats, réfrigérateurs et autres appareils du quotidien. Ici, l’intrusion concerne des bras robotiques à 75 000 dollars, qui pèsent près de 100 kilos et sont utilisés aussi bien dans l’industrie pharmaceutique qu’alimentaire.

Une intrusion sur les serveurs FTP

L’équipe a dénombré 5 potentielles attaques différentes. Les 3 premières reposent sur le même principe : altérer, en remplaçant le fichier d’instructions de la machine après une intrusion informatique — via une clé USB ou à distance par Internet –, le fonctionnement des bras robotiques pour leur ordonner d’autres commandes. «  Si vous mettez en ligne votre propre code, vous pouvez complètement modifier le travail [du robot] sur son objet, créer des vices, arrêter la production ou faire ce que vous voulez. La seule limite, c’est votre imagination » souligne Federico Maggi, de l’École polytechnique de Milan.

D’autant que l’intrusion par Internet s’avère particulièrement facile : il suffit aux hackers d’utiliser l’outil d’analyse Shodan pour dénicher les serveurs FTP connectés aux robots, d’y mettre en ligne leurs fichiers de commande, qui se lancent au prochain démarrage de la machine.

robot bras
Trend Micro

Les deux dernières attaques sont plus dangereuses pour les superviseurs humains puisqu’elles permettent par exemple au hacker d’afficher un statut mensonger sur le système de contrôle du robot — en indiquant par exemple qu’il est éteint alors qu’il est allumé– et de l’exposer au danger en l’incitant à se rendre à proximité du robot qu’il imagine sans risque.

En clair, les hackers ne manquent pas de possibilités pour prendre le contrôle de ces appareils et se livrer à des demandes de rançon : Trend Micro envisage notamment le vol de secrets industriels révélés par le fonctionnement des bras robotiques ou encore la détérioration de certains produits créés à la chaîne.

Si l’entreprise a tout intérêt à amplifier les risques pesant sur l’industrie pour mieux proposer ses services derrière, elle soulève malgré tout une inquiétude légitime. Celle-ci interroge surtout sur l’intérêt des robots connectés, qui n’ont a priori pas besoin d’une telle connectivité. Mais, à l’instar des autres produits de l’Internet des objets, celle-ci tient à la simplification et au gain d’efficacité offerts par une connexion en réseau.

Partager sur les réseaux sociaux