Technologies héritées, menaces modernes : des failles dans les convertisseurs série-IP mettent en danger hôpitaux et industries

Au cœur d’un hôpital en pleine effervescence, un moniteur patient perd soudainement la connexion. Dans un poste électrique isolé, les relevés de capteurs changent mystérieusement. Il ne s’agit pas de scènes tirées d’un thriller cybernétique, mais de risques bien réels mis en lumière par une récente enquête sur les convertisseurs série-IP, ces appareils qui assurent discrètement la jonction entre anciennes et nouvelles technologies au sein d’infrastructures critiques. Désormais, une série de vulnérabilités nouvellement découvertes menace de transformer ces travailleurs de l’ombre en cibles de choix pour les cyberattaques.

Les convertisseurs série-IP - également appelés serveurs de périphériques série - sont la colle invisible qui maintient une grande partie des technologies opérationnelles (OT) mondiales. Ils permettent à des contrôleurs industriels et équipements médicaux vieux de plusieurs décennies de communiquer sur des réseaux Ethernet modernes. Mais selon Forescout Technologies, ces appareils regorgent de vulnérabilités exploitables à des fins de sabotage, d’espionnage ou d’extorsion.

De grands fabricants comme Moxa, Digi, Advantech, Perle, Lantronix et Silex ont expédié des millions de ces convertisseurs, présents partout : réseaux énergétiques, usines de traitement de l’eau, hôpitaux, hubs de transport. Un simple scan Internet révèle près de 20 000 appareils directement exposés au monde - une invitation ouverte aux hackers.

Les failles récemment signalées, regroupées sous le nom BRIDGE:BREAK, touchent des produits clés de Silex et Lantronix. L’analyse de Forescout a identifié 20 faiblesses, dont plusieurs exploitables sans connexion préalable. Les attaquants pourraient injecter du code malveillant, installer un firmware pirate ou même prendre le contrôle total de l’appareil. Les conséquences sont glaçantes : dans le secteur de la santé, des attaquants pourraient arrêter des analyseurs de laboratoire, désactiver l’éclairage chirurgical ou couper la communication avec des moniteurs patients, entraînant des retards ou erreurs dangereux. Sur des sites industriels, ils pourraient manipuler les données de capteurs pour masquer des conditions dangereuses ou provoquer des arrêts.

Bien que Lantronix et Silex aient publié des correctifs de sécurité, le nombre d’appareils concernés et la lenteur des mises à jour dans les environnements OT font que beaucoup restent vulnérables. Pire encore, l’histoire montre que ces convertisseurs sont déjà dans la ligne de mire : des hackers russes ont exploité des failles similaires lors de la célèbre attaque contre le réseau électrique ukrainien en 2015, et des incidents récents ont visé des installations énergétiques en Pologne.

Les experts en sécurité avertissent que les organisations ne doivent pas négliger ces appareils « invisibles ». Un seul convertisseur oublié peut être le maillon faible qui fait tomber tout un système. Alors que Forescout s’apprête à publier son rapport complet BRIDGE:BREAK, le message est clair : dans la course entre défenseurs et attaquants, même le plus petit appareil peut faire pencher la balance.

La leçon est sans appel : à mesure que les technologies héritées et les réseaux modernes s’entremêlent, chaque appareil - aussi modeste soit-il - peut devenir une porte d’entrée pour les cybermenaces. Hôpitaux, services publics et usines doivent agir dès maintenant pour corriger, surveiller et protéger ces maillons négligés avant que les attaquants n’exploitent les failles de nos fondations numériques.

WIKICROOK

• Série : La transmission série est une méthode de transmission de données, souvent utilisée dans les anciens appareils, où les données sont envoyées bit par bit sur un seul canal ou fil.
• Technologies opérationnelles (OT) : Les technologies opérationnelles (OT) regroupent les systèmes informatiques qui contrôlent les équipements et processus industriels, les rendant souvent plus vulnérables que les systèmes informatiques traditionnels.
• Exécution de code à distance (RCE) : L’exécution de code à distance (RCE) désigne la capacité d’un attaquant à exécuter son propre code sur le système d’une victime, menant souvent à une prise de contrôle ou à la compromission du système.
• Déni : En cybersécurité, le déni signifie rendre des systèmes ou services indisponibles pour les utilisateurs, souvent via des attaques de type déni de service (DoS) qui les saturent de trafic.
• Firmware : Le firmware est un logiciel spécialisé stocké dans des appareils matériels, gérant leurs opérations de base et leur sécurité, et leur permettant de fonctionner correctement.