La dernière star de notre rubrique Fail Engineering s’appelle Micromate, un petit appareil costaud produit par la société Instantel. Ce boîtier est censé monitorer les vibrations, le bruit et la surpression sur les chantiers, dans les carrières ou à côté de vos tunnels métropolitains préférés. Bref, c’est l’œil vigilant qui mesure tout ce que votre marteau-piqueur préféré fait trembler.
Le problème avec la cybersécurité industrielle, c’est qu’elle est souvent industrielle… dans sa négligence.
Mais voilà, un chercheur un peu trop curieux, Souvik Kandar, a découvert que plus de 1 000 de ces appareils sont directement exposés sur Internet… et vulnérables à une faille d’exécution de commandes à distance sans aucune authentification. Oui, tu as bien lu : aucune auth. Zéro. Niet. Nada.
📟 Le Micromate : petit mais bien troué
Ce dispositif ressemble à une GameBoy couleur version BTP. Il enregistre les secousses et le bruit, puis les envoie via USB, Bluetooth, Ethernet ou autres interfaces modernes. Mais il a aussi un port de configuration réseau ouvert comme une trappe à lapins, sur lequel aucune vérification d’identité n’est faite.
Résultat ? CVE-2025-1907, un petit nom de CVE avec un score CVSS de 9.8/10. C’est presque une palme d’or. Un attaquant, même débutant, peut y injecter des commandes arbitraires à distance. Une sorte de Shodan-meets-le-marteleur, version piratée.
🧨 Les risques : au-delà du simple bourdonnement
Tu penses que ce n’est “que” de la mesure de vibrations ? Erreur. Ces appareils sont souvent connectés à des systèmes critiques : pilotage de dynamitage, suivi réglementaire, journaux d’événements, rapports de conformité environnementale, etc.
Voici ce qui peut (et va probablement) mal tourner :
- Altération des données : les vibrations d’un semi-remorque peuvent devenir les secousses d’un T-Rex. Très utile pour fausser des rapports.
- Désactivation du monitoring : déclenchement d’explosifs sans contrôle préalable ? Épic fail.
- Effacement de logs : pratique pour cacher des infractions, ou pour planter un audit.
- Point d’entrée réseau : ces appareils communiquent souvent via Ethernet. Devine quoi ? L’attaquant pourrait ensuite se balader dans le LAN OT/IT.
👉 On est exactement dans le scénario qu’on avait évoqué dans notre dossier “Supply Chain & Shadow OT : le cocktail Molotov numérique” (SecuSlice, mai 2025). Même techno, même laxisme, mêmes conséquences.
🔧 « Bob », lis bien ceci : les contre-mesures expliquées pour toi
Pas besoin de faire un master en cybersécurité pour sécuriser un Micromate. Voilà une checklist pour toi, Bob, qui tient le marteau-piqueur et gère ton chantier comme un chef :
- Débranche-les d’Internet. Sérieux. Ces boîtiers n’ont rien à faire accessibles sur le web public.
- Filtrage IP strict : tu configures ton routeur pour n’accepter que les IP de ton réseau interne. Pas celles de Vladivostok.
- Firewall local (ou pare-feu sur le switch) : tu bloques tout sauf ce qui est strictement nécessaire à la collecte de données.
- Segment OT/IT : ne mélange pas tes outils industriels avec ton WiFi invité, ton imprimante ou le PC de Kevin.
- Surveillance de logs : mets un outil (Zabbix, par exemple, cf. notre dossier “Zabbix sans somnifères”) pour suivre les connexions vers ces appareils.
Et si tu es un peu geek dans l’âme, tu peux aussi :
- Monitorer le port réseau vulnérable pour toute tentative suspecte.
- Créer une alerte en cas de reboot ou de modification des configs.
- Utiliser une bastion box pour passer par une seule machine d’administration sécurisée.
🤡 Instantel : le silence est d’or, apparemment
Jusqu’à présent, pas de patch, pas de réponse officielle, pas de grand mea culpa public de la part d’Instantel. C’est probablement une stratégie marketing : si personne n’en parle, ça n’existe pas. Ou alors c’est juste… le niveau habituel du secteur OT.
Tu te souviens de notre article sur l’IoT industriel aussi troué qu’un filet de pêche ? Voici une preuve supplémentaire que dans ce domaine, la sécurité est toujours un “ajout optionnel après la sortie produit”.
⚠️ En résumé
- 1000+ appareils exposés
- Faille critique sans auth
- Utilisables comme vecteurs d’attaque
- Aucune réaction industrielle sérieuse pour le moment
💬 Et pendant ce temps-là, des tonnes de données sensibles, des opérations critiques et des infrastructures publiques dépendent de boîtiers aussi protégés qu’un scooter sans antivol devant un commissariat.
💡 Chez SecuSlice, on ne mesure pas les vibrations… mais on détecte très bien les secousses numériques. Et là, c’est clairement un séisme de niveau industriel.
Voir aussi notre article : Industrie : un secteur stratégique en ligne de mire des cyberattaques
