Le prix du carburant n’est pas un problème pour les hackers !

Sylvain Hajri, consultant sécuritré chez digital.security
Les leaders de l’industrie pétrolière proposent de nouvelles options attrayantes telles que la numérisation des stations-services, surfant ainsi sur la vague de l’Internet des Objets. Total propose ainsi le paiement par téléphone mobile grâce à l’application eWallet1. De plus, les pompes à essence sont depuis longtemps et de plus en plus souvent connectées afin d’assurer leur maintenance et leur surveillance. En Chine, des stations-service intelligentes sont capables de détecter automatiquement l’arrivée d’un automobiliste et d’enclencher immédiatement tout le processus d’approvisionnement2. Néanmoins, cette numérisation n’est pas sans risque ; en témoigne les récents cas de piratage survenus dans le département de l’Oise (région des Hauts-de-France). Le 22 octobre dernier, la police a interpellé un homme qui avait réussi à détourner plus de 2000 litres d’essence, après avoir piraté la pompe à essence3. Ce coup d’éclat confirme ô combien les infrastructures industrielles connectées sont perméables aux cyberattaques. Le présent article dresse un état des lieux des principales vulnérabilités informatiques des stations-service.


 

« Ain-siphonne-phonne-phonne les petites stations-service »

Les activités de piratage autour des stations d’essence ne sont pas un phénomène nouveau en soi.

Dès le début des années 2010, des pirates utilisaient des skimmers afin de subtiliser les coordonnées bancaires des utilisateurs. Bien qu’artisanaux, les skimmers se révèlent d’une terrible efficacité. Un skimmer est une sorte d’enregistreur miniature de pistes magnétiques, disposé à l’endroit où l’usager insère sa carte bancaire. Les pirates informatiques vont ainsi cloner des cartes de crédit afin de les réutiliser ou de revendre des coordonnées bancaires4. À titre d’exemple, en 2015, le ministère de l’Agriculture de Floride avait demandé l’inspection de plus de 7 000 stations essence de l’État de Floride. Les agents spéciaux du ministère ont découvert la présence de 103 skimmers de données bancaires5. La France n’a pas été épargnée non plus par ce type de piratage puisqu’en 2016, plusieurs clients d’une station-service de Breteuil ont par exemple vu leur carte bancaire piratée. Un skimmer avait été installé sur le terminal de paiement de l’une des pompes6.



Ce qui est nouveau, ce sont les techniques de piratage, qui évoluent au fur et à mesure que les stations se numérisent. En voici quelques exemples :
  • Les attaquants privilégient de nouvelles techniques plus informatiques, en ciblant des stations connectés à l’aide d’un moteur comme Shodan, ou en installant directement des malwares sur le logiciel gérant les pompes à essence. En effet, les pompes des stations-service peuvent être connectées à Internet avec des mots de passe par défaut que les propriétaires ou exploitants ne changent pas. Ces mots de passe par défaut donnent la possibilité à un attaquant d’avoir un accès complet sur les pompes à essence. Par exemple, l’entreprise israélienne Orpak Systems a développé et installé dans plus de 35 000 stations-service à travers le monde un logiciel de gestion de carburant.  Cependant, l’entreprise a mis en ligne ses guides, en fournissant de nombreux détails techniques, y compris les mots de passe et les captures d'écran expliquant comment accéder à son interface de gestion de carburant des pompes à essence. Ces guides étaient en ligne pour des raisons de commodité. Plusieurs guides ont depuis été supprimés, mais certains experts de chez Kaspersky ont pu les retrouver grâce à une recherche sur Google7.
  • Côté malware, en 2018, en Russie, des agents du renseignement (FBS) ont identifié des logiciels malveillants permettant de piéger les clients de stations-service compromises. Les propriétaires de voitures pensaient payer pour l’essence qu’ils déversaient dans leur véhicule. Seulement, un pirate pouvait prélever jusqu’à 7 % de l’essence détournée8.




Étude de cas : La télécommande connectée, Saint Graal des hackers en herbe

Le 22 octobre 2018, une station-service située dans le département de l’Oise (région des Hauts-de-France) a été victime d’un piratage. En effet, les criminels ont acheté sur Internet une télécommande habituellement utilisée par les réparateurs pour prendre le contrôle des pompes, attaque rendue possible par la présence de mots de passe faibles ou connus. En effet, bien souvent, le code de sécurité d’origine de la station-service n’a jamais été modifié par le propriétaire ou l’exploitant. Ce sont souvent les mots de passe usine utilisés par défaut. Dans le cadre du piratage des stations-service dans l’Oise, les attaquants ont attendu que la nuit tombe afin de pouvoir commencer leur opération de siphonage : une première voiture passe et déverrouille la pompe grâce à la télécommande acquise sur Internet.  Quelques minutes plus tard, un véhicule utilitaire prend le relai. Celui-ci contient une cuve pouvant accueillir plus de 2000 litres. Les criminels remplissent cette cuve avec l’essence qu’ils ont réussi à obtenir gratuitement grâce aux modifications apportées à la pompe par la télécommande pirate. Les litres de carburants volés seront revendus sur le marché noir9. En effet, le prix du carburant revendu est à un euro, bien moins cher que dans les pompes10. Les caméras de surveillance de la station-service ont permis aux enquêteurs de mettre au jour le stratagème ; le même d’ailleurs observé quelques mois plus tôt dans une autre station-service à Cauffry où 90 litres d’essence et 3 000 litres de gazole avaient été volés. Une enquête, menée par la brigade de recherches de Beauvais et le groupement de Gendarmerie de l’Oise, fait état d'au moins huit tentatives de vol de carburant dans le département entre juillet 2017 et octobre 2018, soit près de 16 000 litres d’essences volés.

 


Au-delà du vol d’essence, le piratage de stations-service pourrait provoquer de sérieux dégâts

En janvier 2018, Kaspersky Lab avait publié une étude sur le piratage des stations-services révélant que  plus de 1 000 stations-service, des États-Unis à l'Inde, étaient vulnérables11. Outre le piratage des pompes à fins d’enrichissement personnel, certains hackers pourraient envisager de  saboter les infrastructures pour des raisons politiques ou tout simplement par « jeu » afin de tester de nouvelles techniques de compromission et ainsi créer le buzz. Le piratage d’une station-service grâce aux mots de passe par défaut en constitue la principale vulnérabilité. Plusieurs scénarios d’attaques sont ainsi envisageables :
  • Des malfaiteurs piratent une station-service via des solutions connectées ou manuelles (telle que la télécommande utilisée dans les stations-service de l’Oise) afin de modifier le prix du carburant et voler de l'essence12. D’importantes pertes financières sont ainsi générées. Les pirates, quant à eux, revendent le carburant sur le marché noir, se faisant ainsi d’importants bénéfices.
  • Des criminels pourraient chiffrer les données volées sur le contrôle de gestion des stations de service et demander une rançon en échange voire, dans des cas de sabotage, arrêter les opérations de la station13.
  • Des pirates informatiques pourraient exploiter les données de la pompe en les modifiant au point de provoquer une explosion. Les pirates pourraient également accéder aux réseaux annexes pour prendre le contrôle des caméras de surveillance et autres systèmes connectés au réseau d'une station-service14.



 

Conclusion

« Les stations-service sont connectées à Internet pour diverses raisons. C’est une réelle opportunité pour les attaquants de profiter des faiblesses de sécurité qui n’ont pas été envisagées en amont par les constructeurs, par exemple lors de la conception ou de l’installation d’une station-service ». Ces propos recueillis auprès de notre consultant sécurité Sylvain Hajri démontre que la connexion des stations-service à Internet se présente comme une opportunité non négligeable pour les pirates. Avec une simple télécommande, il est ainsi possible de pirater certaines pompes et de faire fructifier son vol en revendant les litres volés sur le marché noir. En France, il y a déjà eu 8 200 vols de carburant depuis le début de l'année15. Le piratage de stations-service étant intrinsèquement lié à l’augmentation du prix du carburant, il est fort à parier que ce type de vol se multiplie dans les prochaines années.


 

Intervention de Sylvain Hajri, l'un de nos consultants sur France Télévisons




Intervention de Sylvain Hajri, l'un de nos consultants sur BFM TV
 

En attendant,  pour pallier ce manque de sécurité, digital.security a formulé des recommandations organisationnelles et techniques. Vous les trouverez dans notre nouveau livre blanc.




Découvrir notre nouveau livre blanc





 



Julia Juvigny-Nalpas
Responsable études et veille

Diplômée d’un Master en Géopolitique et Sécurité Internationale, Julia est chargée d’études et veille au sein du CERT de
digital.security. Elle intervient régulièrement sur des missions de veille sur mesure portant sur la sécurité des objets connectés. Elle a donné plusieurs conférences sur ce sujet après des universités et au sein des salons.

 

5 Ministère de l’Agriculture de Floride