Nous nous attendons à ce que les pirates ciblent les comptes bancaires, les serveurs et les bases de données, mais parfois, ils prennent le contrôle des appareils les plus étranges qui soient. Au fur et à mesure que de plus en plus d’objets du quotidien se connectent à Internet, la surface d’attaque pour les criminels informatiques s’étend dans des directions étranges et imprévisibles. Des toilettes intelligentes aux lumières d’hôtel, ces piratages peuvent sembler relever d’une blague, mais ils se sont réellement produits.
Voici 10 cas réels où des hackers ont pris le contrôle d’objets qu’ils n’auraient absolument pas dû contrôler.
Sommaire
10 Un panneau d’affichage transformé en pornographie
En 2016, les navetteurs de Jakarta, en Indonésie, ont été stupéfaits lorsque qu’un immense panneau d’affichage à LED situé dans une rue animée a commencé à diffuser de la pornographie hardcore pendant l’heure de pointe. Les images ont été diffusées sans interruption pendant plusieurs minutes avant que le courant ne soit finalement coupé. Il s’est avéré que le système de contrôle du panneau était connecté à Internet sans mot de passe, permettant à quiconque possédant l’adresse IP de télécharger ce qu’il voulait. Les identifiants de connexion par défaut n’avaient jamais été modifiés par la société de publicité, une erreur qui a conduit à une humiliation publique à grande échelle.
La réaction a été immédiate. Plusieurs conducteurs ont été impliqués dans des accidents en raison de la distraction causée par ces images, et la société exploitant le panneau a fait face à des enquêtes criminelles pour indécence publique et négligence. Les hackers n’ont jamais été arrêtés, mais l’incident a déclenché des attaques similaires dans d’autres pays. Quelques mois plus tard, un panneau numérique dans une station de train à Melbourne a été détourné pour afficher « HACK THE PLANET » ainsi qu’un mème graphique. Depuis, la signalisation numérique est considérée par les sociétés de cybersécurité comme l’une des surfaces d’attaque les plus négligées dans les environnements urbains.
9 Un thermostat intelligent dans une maison britannique
En 2016, des chercheurs de la société de sécurité Pen Test Partners ont découvert qu’une marque de thermostats intelligents couramment vendus au Royaume-Uni pouvait être entièrement piratée par Wi-Fi. Une fois connecté, le hacker pouvait lancer des mises à jour de firmware malveillantes, transformant effectivement le thermostat en un hub de surveillance local ou un outil de rançon. Dans une démonstration en direct, ils ont montré comment des attaquants pouvaient verrouiller la température à 37 °C et exiger une rançon en Bitcoin pour débloquer l’appareil.
La vulnérabilité provenait de communications non chiffrées entre le thermostat et le serveur cloud, permettant des attaques de type « homme du milieu » avec un effort technique minimal. Beaucoup de ces thermostats étaient installés dans des maisons de soins, des logements sociaux et des bureaux, ce qui signifie qu’une attaque réussie pouvait avoir un impact sur des populations vulnérables ou immobilisées. Bien que le problème ait été corrigé par la suite, la vulnérabilité a mis en lumière comment les petits appareils intelligents peuvent créer des risques sérieux lorsqu’ils sont intégrés à un plus grand système d’automatisation domestique — surtout si les utilisateurs ne changent pas les paramètres par défaut ou ne mettent pas à jour leur firmware.
8 Une Tesla — utilisant simplement un drone
En 2021, des chercheurs en cybersécurité du Keen Security Lab ont démontré une attaque de preuve de concept qui leur permettait de pirater une Tesla Model X à l’aide d’un drone volant à proximité. En exploitant des vulnérabilités dans la pile Wi-Fi du véhicule et dans son système d’infodivertissement, les chercheurs ont pu effectuer une attaque à distance sans clic, leur donnant le contrôle sur des fonctions telles que les portes, les lumières, les ajustements de siège et même la navigation, le tout sans toucher à la voiture.
L’attaque fonctionnait en détournant la fonction de connexion automatique Wi-Fi de Tesla et en livrant un payload malveillant via une injection de type portail captif, une technique similaire à celle utilisée par les hackers dans de faux points d’accès Wi-Fi dans les aéroports. La Tesla a été amenée à se connecter à un point d’accès contrefait créé par le drone, qui a injecté le malware dans l’unité centrale du véhicule. Tesla a ensuite corrigé la vulnérabilité, mais cette attaque a montré comment même les voitures intelligentes les plus sécurisées peuvent être manipulées depuis les airs sans contact physique. L’équipe de recherche a souligné que les mises à jour logicielles par air peuvent à la fois protéger et exposer les voitures en temps réel.
7 Les produits chimiques d’une station de traitement des eaux
En février 2021, quelqu’un a accédé à distance au système de contrôle d’une installation de traitement des eaux d’Oldsmar, en Floride, et a essayé d’augmenter le niveau d’hydroxyde de sodium (soude caustique) dans l’eau d’un facteur de 100. La soude est normalement utilisée en petites quantités pour gérer l’équilibre du pH, mais en grande quantité, elle devient hautement caustique et dangereuse pour la santé humaine. Un opérateur de l’usine a remarqué la souris se déplacer sur son écran sans son intervention et a observé en temps réel les paramètres être modifiés.
Heureusement, l’opérateur a rapidement annulé le changement, ne libérant aucune eau contaminée. Les enquêteurs ont découvert que la violation s’était produite via TeamViewer, une application de bureau à distance utilisée pour la maintenance du système. Le système n’avait pas de pare-feu, réutilisait des mots de passe et était directement connecté à Internet, violant les règles de base de l’hygiène en matière de cybersécurité. L’attaque a déclenché des enquêtes fédérales et a soulevé des alarmes sur le nombre de petites infrastructures municipales qui continuent de fonctionner avec une sécurité insuffisante, souvent avec des logiciels obsolètes et un minimum de supervision.
6 Les serrures de porte d’hôtel dans le monde entier
En 2012, le chercheur en sécurité Cody Brocious a présenté une vulnérabilité simple mais dévastatrice dans les serrures à carte de clé Onity, utilisées dans des millions de chambres d’hôtel à travers le monde. En utilisant un dispositif fait maison à 50 $ — un Arduino modifié branché sur la prise DC de la serrure — il a pu vider la mémoire de la serrure et ouvrir la porte en quelques secondes. Le problème ? Les serrures acceptaient des commandes de firmware non vérifiées de quiconque pouvait se brancher dessus, et le chiffrement était pratiquement inexistant.
Après la présentation, des cambrioleurs ont commencé à utiliser cette méthode pour piller des chambres d’hôtel sans laisser de signes d’effraction. Dans un cas à Houston, un voleur a cambriolé plusieurs chambres en une seule nuit. Onity a proposé une solution mais nécessitait un remplacement matériel, ce que de nombreux hôtels ont refusé de payer, laissant les chambres vulnérables pendant des années. Ce piratage est devenu l’un des exemples les plus cités de la manière dont les échecs de sécurité physiques peuvent découler de raccourcis numériques peu coûteux et comment les démonstrations publiques de piratage peuvent inspirer des crimes réels si les vendeurs tardent à agir.
5 Un manège de parc d’attractions
En 2008, un adolescent polonais de 14 ans a utilisé une télécommande de télévision piratée pour manipuler les systèmes de tramway public de la ville de Łódź. En ingénierie inverse les signaux infrarouges utilisés pour contrôler le commutateur de voie, il a pu rediriger les trams en temps réel. Finalement, il a causé un déraillement, blessant douze personnes et recevant des titres de presse le qualifiant de « hacker ferroviaire ». Bien que cela ne soit pas un manège de parc d’attractions au sens traditionnel, les implications s’appliquaient : l’ensemble du système fonctionnait sur des signaux non chiffrés et non authentifiés, contrôlables par une télécommande standard et une programmation ingénieuse.
L’incident a révélé des failles flagrantes dans les systèmes de contrôle industriels qui s’étendaient au-delà de la Pologne. De nombreux systèmes de tramway urbains et de manèges d’attractions s’appuient sur des protocoles de commande obsolètes, souvent basés sur des commandes IR ou radio héritées sans chiffrement. Après l’arrestation, les enquêteurs ont trouvé la console de commande faite maison de l’adolescent, complète avec des LEDs rouges et vertes, construite pour imiter ce qu’il avait vu le personnel des trains utiliser. Les analystes en cybersécurité ont par la suite averti que la même méthode d’attaque pourrait être utilisée sur des manèges d’attractions vieillissants, en particulier ceux avec des systèmes de maintenance à distance accessibles sans fil.
4 Un bidet et un système de chasse d’eau d’une toilette intelligente
Les toilettes intelligentes de la marque Satis de LIXIL, vendues jusqu’à 4 000 $, offraient des fonctionnalités luxueuses telles que des sièges chauffants, des bidets automatisés, un éclairage d’ambiance, de la musique et des sprays désodorisants, le tout contrôlable via une application pour smartphone. Mais en 2013, des chercheurs de Trustwave ont découvert que l’application My Satis avait un code PIN Bluetooth durci : « 0000 », utilisé sur tous les modèles. Cela signifiait que quiconque à portée Bluetooth pouvait se coupler avec les toilettes et contrôler ses fonctionnalités, y compris les tirer à plusieurs reprises ou activer le bidet de manière inattendue.
Bien que l’idée de faire des farces en tirant la chasse d’eau des toilettes puisse sembler comique, les experts ont souligné des dangers réels : les utilisateurs âgés ou handicapés pouvaient être sérieusement affectés par des sprays soudains ou des mouvements mécaniques du siège. Certains appareils étaient installés dans des bureaux exécutifs et des hôtels de luxe, transformant une blague en une potentielle violation de la vie privée. C’était également une étude de cas sur les mauvaises pratiques de sécurité liées à l’IoT, montrant comment même les appareils haut de gamme peuvent négliger des protections de base telles que des mots de passe uniques ou un couplage sécurisé, surtout lorsque l’accès physique semble peu probable.
3 Un aquarium intelligent dans un casino
Dans l’une des violations les plus étranges jamais rendues publiques, des hackers ont utilisé un aquarium intelligent pour accéder aux systèmes internes d’un casino nord-américain en 2017. L’aquarium était équipé de capteurs connectés à Internet qui régulaient la température et les horaires de nourrissage. Cependant, le système de surveillance de l’aquarium était connecté au réseau principal sans segmentation appropriée. Les hackers ont exploité la connexion non sécurisée pour se déplacer latéralement dans l’infrastructure du casino, exfiltrant finalement environ 10 Go de données avant d’être détectés.
La violation a été rapportée par la société de cybersécurité Darktrace, bien que l’identité du casino reste confidentielle. L’événement est devenu un exemple notoire des risques liés à l’« IoT fantôme » — des appareils connectés à Internet qui existent pour la commodité ou la valeur esthétique mais qui ne sont pas renforcés pour la sécurité. Les aquariums, les distributeurs automatiques et même les machines à café connectées ont depuis été cités comme des points d’entrée vulnérables dans les environnements d’entreprise. L’aquarium était installé dans une zone VIP, ce qui a encore amplifié le risque, car les données des gros joueurs étaient probablement accessibles une fois que les attaquants avaient pénétré les serveurs principaux.
2 Les lumières, la télévision et les rideaux d’une chambre d’hôtel
En 2014, le consultant en cybersécurité Jesus Molina a découvert une vulnérabilité significative au St. Regis Shenzhen, un hôtel de luxe en Chine. Pendant son séjour, Molina a découvert que les iPads dans les chambres de l’hôtel, fournis aux clients pour contrôler les lumières, les rideaux, les télévisions et les thermostats, communiquaient sur un réseau non sécurisé utilisant le protocole KNX/IP — un système dépourvu de chiffrement ou d’authentification. En analysant le trafic du réseau, Molina a constaté qu’il était possible d’intercepter et de rejouer des commandes, permettant effectivement un contrôle non autorisé sur les commodités dans plus de 200 chambres. Il a montré la capacité à manipuler des appareils dans les chambres des autres clients, comme allumer et éteindre les lumières ou ajuster les paramètres de la télévision, le tout sans leur connaissance.
Molina a présenté ses découvertes à la conférence de sécurité Black Hat, mettant en avant les risques associés à l’intégration de dispositifs Internet des objets (IoT) dans l’hôtellerie sans mesures de sécurité robustes. Le St. Regis Shenzhen a répondu en suspendant temporairement le système de contrôle par iPad pour des mises à niveau. Cet incident a souligné les implications plus larges des vulnérabilités IoT dans les environnements hôteliers, soulignant le besoin de protocoles de sécurité stricts dans les systèmes d’automatisation des bâtiments intelligents.
1 Un Jeep circulant sur l’autoroute
Dans une des démonstrations de sécurité les plus époustouflantes jamais filmées, les chercheurs en cybersécurité Charlie Miller et Chris Valasek ont piraté à distance une Jeep Cherokee 2014 alors qu’elle circulait sur l’autoroute. Utilisant une vulnérabilité dans le système Uconnect, qui avait une connectivité cellulaire, ils ont pu accéder au réseau interne du véhicule, coupant la transmission, faisant fonctionner la climatisation, réglant la radio à plein volume et même désactivant les freins — le tout alors que la voiture roulait à 70 mph avec un journaliste de Wired au volant.
L’exploitation fonctionnait par le biais d’une vulnérabilité de type « zero-day » dans le logiciel de l’unité centrale, qui n’était pas correctement isolé des systèmes critiques comme la direction et l’accélération. Les chercheurs ont d’abord testé leur attaque dans un parking, mais la démonstration à grande vitesse a fait les gros titres. Les conséquences ont poussé Fiat Chrysler à rappeler 1,4 million de véhicules — le premier rappel massif jamais provoqué par une vulnérabilité cybernétique. Cela a également suscité une vague de législation sur la cybersécurité automobile. Cela a changé définitivement la façon dont les régulateurs et les fabricants perçoivent les risques des véhicules connectés.
