Un groupe de pirates a pris le contrôle du logiciel de traitement de l’eau d’une piscine dans un établissement hôtelier. L’attaque n’a fait aucun dégât, mais devrait alerter sur la vulnérabilité de ces systèmes.

Les pirates aiment tester leur limites. Cette fois, ils se sont attaqués à la piscine d’un hôtel, en Israël, le 10 septembre dernier, sans motivation réelle. Le groupe d’hacktivistes GhostSec a revendiqué cette attaque sur Telegram. Selon les images publiées par le collectif, les hackers ont pris le contrôle des niveaux de chlore et du pH (l’acidité) depuis le système informatique de l’établissement hôtelier.

Rien de trop dangereux pour les baigneurs — hormis de potentielles irritations — mais GhostSec veut avertir sur « les dommages pouvant être causés ». Le groupe a ajouté qu’il est capable d’agir contre Israël pour soutenir la Palestine, mais qu’il ne veut pas causer de torts à d’innocents citoyens.

Le taux de chlore peut être régulé depuis des logiciels, notamment dans les piscines modernes plus exposées à une cyberattaque. GhostSec n’ayant pas fourni de détails sur l’opération, les chercheurs en cyber de la société Otorio ont analysé les potentielles vulnérabilités de ces systèmes de contrôle. Selon eux, le système de traitement de l’eau est exposé à internet avec des mots de passe fournis par défaut. C’est par ce biais assez classique que GhostSec a pu prendre en main le logiciel.

Une fois le logiciel ouvert, les pirates peuvent modifier la consistance chimique de la piscine à leur souhait. // Source : Otorio
Une fois le logiciel de traitement de l’eau ouvert, les pirates peuvent modifier la consistance chimique de la piscine à leur souhait. // Source : Otorio

« Une cible extrêmement facile »

Les chercheurs d’Otorio déplorent ce manque de sécurité. « Encore une fois, cet incident est un exemple plutôt triste d’une entreprise qui maintient une mauvaise politique de mots de passe, les informations d’identification par défaut n’ont tout simplement pas été modifiées. Même si l’hôtel n’a pas changé le mot de passe, le système a également été exposé à Internet, ce qui en fait une cible extrêmement facile pour les cyberattaques », peut-on lire dans le rapport.

Loin de nous l’idée d’aller remercier les hackers d’avoir attaqué cet hôtel, néanmoins ce type d’opération devrait alerter de nombreuses entreprises qui s’imagineraient qu’elles n’ont aucun intérêt pour des malfaiteurs.