Si vous installez un ordinateur dans un fusil, même le plus amateur des tireurs deviendra un tireur d'élite. Ajoutez une connexion wi-fi à ce fusil haute technologie et vous risquez d'avoir l'impression soudaine de ne plus le contrôler...
Runa Sandvik et Michael Auger ont travaillé pendant un an sur le piratage d'un fusil TrackingPoint (à 13 000 dollars), capable de suivre la cible et d'augmenter la précision du tir. Le couple de hackers a ainsi développé un ensemble de techniques qui permettent à l'attaquant (le pirate) d'avoir le contrôle sur le fusil via la connexion wi-fi, et d'exploiter les vulnérabilités de son système d'exploitation.
Résultat, le hacker a les moyens de modifier les variables du calcul de portée de sorte à ce que le tireur rate sa cible, d'endommager de façon permanente le système du fusil, ou même d'empêcher l'arme de tirer. "Si la lunette du fusil est faussée, vous avez un ordinateur à six ou sept mille dollars que vous ne pouvez pas utiliser, et vous vous retrouvez à devoir viser vous-même", raconte Runa Sandvik, ancienne développeuse du logiciel Tor (qui rend les échanges Internet anonymes).
Un fusil de haute-technologie avec de nombreuses failles
Depuis son lancement en 2011, TrackingPoint a vendu plus d'un millier de ces fusils connectés avec un système permettant de mieux viser. La lunette permet de désigner une cible et d'entrer toutes les données variables qui augmentent la précision comme le vent, la température et le poids des balles qui sont tirées. Une fois que le tireur a appuyé sur la gâchette, le fusil choisit, seul, le moment exact pour tirer, quand le viseur est parfaitement positionné sur la cible.
Mais lorsque Runa Sandvik et Michael Auger ont voulu testé l'engin (modèle TP750), ils en ont rapidement découvert les limites et les failles. En effet, lorsque le wi-fi de l'ordinateur du fusil est en marche, le système de l'arme réclame un mot de passe par défaut qui permet à toute personne étant aux alentours de se connecter au réseau (le code étant facile à trouver, d'après les deux hackers). À partir de là, le pirate peut modifier les variables qui influencent la façon dont va viser le tireur, mais il lui est toutefois impossible (et heureusement) d'appuyer sur la gâchette à distance.
Cette découverte prouve, encore une fois, la vulnérabilité des objets connectés à Internet face aux hackers. "Il y a tellement de choses qui sont aujourd'hui rattachées à Internet: voitures, frigos, machines à café, et maintenant, les armes", regrette Runa Sandvik. "Ceci est un message pour TrackingPoint et les autres entreprises. Quand vous installez de la haute technologie sur des objets qui ne l'avaient pas avant, vous rencontrez de sérieux problèmes de sécurité auxquels vous n'aviez jamais pensé".
