Les pirates informatiques ont découvert un moyen d'abuser des services d'alerte d'urgence dans une attaque appelée SirenJack. Cela a été rendu possible grâce à une vulnérabilité récemment découverte dans l'un des vendeurs.
Une attaque de SirenJack en cours peut provoquer une panique généralisée
Un audit de sécurité a révélé une vulnérabilité dangereuse dans les systèmes d'alerte d'urgence qui peuvent être utilisées pour provoquer de fausses alarmes et une panique généralisée. Le problème réside dans le logiciel du contrôleur fait par ATI Systems qui est utilisé dans de nombreux endroits aux États-Unis d'Amérique et à l'étranger. Certains des sites confirmés sont les suivants:
- Un centre de commerce mondial
- Energy Centre Indian Point centrales nucléaires
- UMass Amherst
- West Point Military Academy
Le problème réside dans les protocoles qui utilisent des signaux radio afin de commander les sirènes. Une analyse de la sécurité révèle qu'ils ne sont pas chiffrés, ce qui permet pratiquement tout le monde (y compris des terroristes) pour découvrir la fréquence radio spécifique affecté au système d'urgence et créer des messages de commande malveillants. Lorsque le récepteur est placé en pertinent mode d'écoute de tels messages interceptés peuvent régler automatiquement les alarmes. Selon les informations publiées une attaque SirenJack peut être accompli avec un ordinateur portable et un pas cher $30 Dispositif de radio de poche.
Il est intéressant de noter que la faille de sécurité a été identifié pour la première fois en 2016 dans un autre système installé à San Francisco. La vulnérabilité n'a pas été signalé mais après l'apparition de plusieurs incidents le vendeur a été mis en contact avec des informations sur la question. Les alertes d'urgence déployés par ce fournisseur particulier sont déployés aussi bien en Amérique du Nord et dans le monde entier. Les emplacements vont des installations civiles à des complexes militaires, sites industriels (le rapport mentionne également le pétrole et les armes nucléaires) et les universités.
Le vendeur a publié une déclaration indiquant qu'ils ont mis au point un patch qui est actuellement en cours de test et sera déployé à leurs systèmes. L'une des choses importantes à considérer dans cette prochaine mise à jour de sécurité est le fait que les systèmes d'alerte d'urgence sont personnalisés pour chaque site du client. Cela signifie que les clients seront nécessaires pour atteindre à la société et demander leur propre solution personnalisée. Un correctif pour le San Francisco a déjà été déployé afin d'échapper à tout abus potentiel. Les chercheurs en sécurité ont suivi la pratique standard de sécurité de notifier au vendeur 90 jours avant la divulgation publique.