« L’industrie ferroviaire traite les problèmes de cybersécurité avec le même livre de jeu que le« retard, refuser, défendre le mantra »de l’industrie de l’assurance»
Facepalm: Malgré des efforts croissants pour protéger les infrastructures critiques, une grande partie de l’industrie ferroviaire américaine continue de s’appuyer sur la technologie vulnérable au piratage à distance, selon des chercheurs en sécurité et des responsables fédéraux. Le défaut, qui pourrait permettre à un attaquant de verrouiller les freins d’un train de loin, a été signalé pour la première fois il y a plus de dix ans et il n’est récemment que l’industrie a pris de sérieuses mesures pour y remédier.
La vulnérabilité a été découverte en 2012 par le chercheur indépendant Neil Smith, qui a constaté que le protocole de communication reliant l’avant et l’arrière des trains de fret – techniquement connu sous le nom de protocole de liaison à distance de fin de formation et de tête de train – peut être compromis en interceptant des signaux radio non cryptés.
Le système, conçu pour relayer les données opérationnelles et les commandes de sécurité, remonte à une mise à niveau obligatoire du Congrès dans les années 1980 pour prévenir les accidents mortels causés par une mauvaise communication.
« Toutes les connaissances pour générer l’exploit existe déjà sur Internet. L’IA pourrait même la construire pour vous », a déclaré Smith à 404 Media. « L’aspect physique signifie vraiment que vous ne pouviez pas exploiter cela sur Internet d’un autre pays, vous devez être une distance physique du train (donc) que votre signal est toujours reçu. » Il a expliqué que même un petit appareil grand public pourrait lancer une telle attaque à quelques centaines de pieds, ajoutant: « Si vous aviez un avion avec plusieurs watts de puissance à 30 000 pieds, vous pouviez obtenir environ 150 miles de portée. »
L’enquête de Smith a consisté à décoder le protocole radio, en utilisant un modem de saisie de déplacement de fréquence. « Le lien radio est un modem de données de décalage de fréquence couramment trouvé qui était facile à identifier », a-t-il déclaré. « Le vrai défi était de rétro-ingénierie de ce que signifiait les différents bits du paquet. »
Lorsque Smith a alerté l’Association of American Railroads (AAR), qui gère le protocole pour l’Amérique du Nord, il a reçu peu d’engagement. « L’Association des chemins de fer américains, qui est le mainteneur du protocole utilisé à travers l’Amérique du Nord pour les liens Radio EOT / Hot, ne reconnaîtrait pas la vulnérabilité comme réelle à moins que quelqu’un ne puisse le démontrer dans la vie réelle », se souvient Smith. « Ils n’autoriseraient pas non plus les tests à faire pour prouver que c’était un vrai problème. »
L’attention du public autour de la faille a augmenté en 2016, lorsqu’un article de la revue de Boston a décrit les risques et comprenait les conclusions de Smith. Quelques jours plus tard, le VP de l’AAR pour la sécurité, Tom Farmer, a joué des préoccupations, appelant les rapports « basés sur de nombreuses inexactitudes et erreurs de caractéristiques ».
Les responsables fédéraux, quant à eux, reconnaissent le défi. Chris Butera, directeur adjoint exécutif par intérim de la CISA de la cybersécurité, a noté que l’exploit a été « compris et surveillé par les parties prenantes du secteur ferroviaire depuis plus d’une décennie ». Il a dit, cependant, qu’il n’est pas facilement exploité: exploiter la vulnérabilité nécessiterait une personne ayant un accès physique aux voies ferrées, une forte compréhension du protocole et un équipement technique spécifique – rendant les attaques à grande échelle improbables sans une large présence sur le terrain aux États-Unis, a-t-il déclaré. Il a ajouté que la CISA a collaboré avec des partenaires de l’industrie pour résoudre le problème, ce qui implique la mise à jour d’un protocole standardisé qui est déjà en train d’être révisé.
Smith, cependant, conteste la difficulté d’une attaque et dit que la propre évaluation de la CISA fait référence à l’exploit comme une «faible complexité d’attaque». Il est également sceptique quant au rythme de la réforme de l’industrie, affirmant que les mises à niveau peuvent prendre des années et accueillir les dirigeants ferroviaires de suivre l’approche « Delay, Deny, Defend » de l’industrie de l’assurance.
« À mon avis personnel, l’industrie des chemins de fer américaine traite les problèmes de cybersécurité avec le même livre de jeu que le mantra de délai, Deny, Defend ‘de l’industrie de l’assurance », a-t-il déclaré.
Jusqu’à présent, l’AAR n’a pas fourni de calendrier pour déployer un correctif et n’a pas répondu aux demandes de commentaires.
