Aquarium connecté ou télécommande: quand les pirates informatiques utilisent des méthodes insolites

Une connaissance, ou une entreprise, s'est faite pirater? Il y a de grandes chances pour que la méthode utilisée par le hacker soit tristement classique: faux SMS des impôts ou de l'assurance maladie, lien de téléchargement infecté, pièce jointe piégée dans un mail...

Tous les piratages? Non. Loin des méthodes éculées ou des hackers clichés de films, certains pirates résistent encore et toujours à la facilité en poussant très loin l'ingéniosité pour arriver à leurs fins, avec parfois des méthodes très surprenantes.

Comme un poisson dans l'eau

Par exemple, pour pirater les données d'un casino, comme s'y prendrait un pirate classique? Un faux mail pour récupérer les identifiants, une pièce jointe vérolée… La grande porte classique, somme toute. À Las Vegas, les machines à sous de plusieurs hôtels MGM ont récemment été bloquées après l'infection des systèmes par un rançongiciel.

Pour atteindre sa cible, un autre pirate a décidé de passer non pas par la grande porte, ni même par la fenêtre, mais par… l'aquarium. Le casino disposait en effet d'un aquarium connecté, doté de capteurs pour gérer la température, la propreté, etc.

L'aquarium était connecté à internet et aux ordinateurs du casino. En l'utilisant comme point d'entrée, le hacker a donc pu rebondir sur le système du casino, et ainsi voler les données de nombreux clients fortunés, selon un rapport de l'entreprise de cybersécurité Darktrace cité par le Washington Post.

"C'est le raisonnement de hacker le plus divertissant et le plus intelligent que j'ai jamais vu", a déclaré au Washington Post Hemu Nigam, à l'époque dirigeant de l'entreprise de cybersécurité SSP Blue.

Jackpot garanti

Toujours à propos des casinos, certains fraudeurs ont trouvé une technique pour gagner à tous les coups aux machines à sous, et ce sans même aller sur internet ou infiltrer le moindre système – seulement grâce à leur smartphone. Le piratage parfait, en somme.

La méthode repose sur un constat simple: aujourd'hui, le résultat des machines à sous est décidé non plus par la physique des rouleaux de la machine, mais par un algorithme. Cet algorithme a un taux de redistribution moyen fixé à l'avance: en misant par exemple 1000, sur un très grand nombre d'essais, le joueur devrait récupérer 95%, 90%, 85% de sa mise selon les cas.

Sauf qu'il est possible de modifier ce taux, simplement en envoyant certaines ondes électromagnétiques à la machine à sous, par exemple depuis un smartphone. Et ainsi de faire monter le taux de redistribution à 100%, 110%, 120% etc.

Un stratagème qui a déjà été utilisé dans plusieurs casinos en France ces dernières années. L'un de ces fraudeurs est justement passé devant la chambre d’instruction de Versailles récemment.

Essence à volonté

Ce n'est pas un smartphone qui a permis à des fraudeurs de voler plus de 120.000 litres d'essence, mais une simple télécommande. En 2018, des voleurs ont dévalisé des stations-service dans toute l'Île-de-France, remplissant gratuitement des cuves entières pour ensuite revendre le carburant à bas prix.

Le tout grâce à une petite télécommande achetée sur internet. Elle fonctionne sur le même principe que celle des propriétaires de ces stations-service, et elles permettent de désactiver la pompe les remplir – ou pour se servir gratuitement.

Bien sûr, il faut rentrer un mot de passe pour activer cette fonction… mais à l'achat, ce code à 4 chiffres était réglé sur 0000, et aucun des pompistes victimes ne l'avait changé, raconte Le Parisien – d'où l'importance de modifier les identifiants par défaut de vos appareils. Même contre les attaques les plus insolites, il existe donc des moyens simples pour se protéger.