Le département américain de la Sécurité intérieure met en garde contre les vulnérabilités du réseau de diffusion d’urgence du pays qui permettent aux pirates d’émettre de faux avertissements sur les stations de radio et de télévision.
“Nous avons récemment pris connaissance de certaines vulnérabilités dans les encodeurs/décodeurs EAS qui, s’ils ne sont pas mis à jour avec les versions logicielles les plus récentes, pourraient permettre à un acteur d’émettre des alertes EAS sur l’infrastructure hôte (TV, radio, réseau câblé)”, a déclaré le DHS. L’Agence fédérale de gestion des urgences (FEMA) a mis en garde. “Cet exploit a été démontré avec succès par Ken Pyle, chercheur en sécurité chez CYBIR.com, et pourrait être présenté comme une preuve de concept lors de la prochaine conférence DEFCON 2022 à Las Vegas, du 11 au 14 août.”
Pyle a déclaré aux journalistes de CNN et de Bleeping Computer que les vulnérabilités résident dans le Monroe Electronics R189 One-Net DASDEC EAS, un encodeur et décodeur de système d’alerte d’urgence. Les stations de télévision et de radio utilisent l’équipement pour transmettre des alertes d’urgence. Le chercheur a déclaré à Bleeping Computer que “de multiples vulnérabilités et problèmes (confirmés par d’autres chercheurs) n’ont pas été corrigés depuis plusieurs années et ont fait boule de neige en une énorme faille”.
“Lorsqu’on lui a demandé ce qui pouvait être fait après une exploitation réussie, Pyle a répondu : “Je peux facilement obtenir l’accès aux informations d’identification, aux certificats, aux appareils, exploiter le serveur Web, envoyer de fausses alertes via un message artisanal, les faire valider/préempter les signaux à volonté. . Je peux également verrouiller les utilisateurs légitimes lorsque je le fais, neutralisant ou désactivant une réponse », a ajouté Bleeping Computer.
Ce n’est pas la première fois que des responsables fédéraux mettent en garde contre des vulnérabilités dans le système d’alerte d’urgence.
