Balances industrielles « MARQUES » : livrées/installées sans mot de passe

Le fabricant « Balanças MARQUES » est établi au Portugal depuis 1967 et il est actif dans les instruments de mesures industriels. Il a bien pris le virage des nouvelles technologies puisque ses balances pour le commerce de détail sont plutôt modernes et élégantes. Mais il a totalement négligé l’angle de la sécurité!

Nous avons contacté la maison mère le 16 avril pour leur expliquer ce que nous avions trouvé et obtenir leur point de vue, tout en leur laissant le temps de réagir et de déployer un correctif auprès de leurs clients, avant une éventuelle communication publique.

Nous recevons une réponse le 30 avril mais le contenu n’était pas convaincant. Nous demandons quelques précisions supplémentaires et le second retour est tout à fait clair : la sécurité informatique n’est vraiment pas leur domaine. Beaucoup de « responsible disclosures » ne se passent pas comme prévu, il n’y a parfois pas d’écoute ou pas de compréhension en face, mais là c’est particulier.

Un bref tour du contexte pour expliquer notre découverte : ils utilisent des cartes mères de type i.MX6 avec une distribution Linux qui semble un peu allégée pour les systèmes embarqués. Les balances intègrent un écran tactile, une interface réseau ethernet filaire ou wifi selon les modèles, et font tourner le logiciel ETPOS 5 pour la gestion du stock, des articles et des tickets de pesée.

Le système définit une balance comme « maître » et on peut en ajouter d’autres qui reçoivent leur configuration directement de la balance « maître » ; la synchronisation des prix et des articles est ainsi totalement automatique et cohérente.

Lorsqu’il est nécessaire de faire un diagnostic de communication réseau, il faut souvent toujours commencer par la base : ping. Est-ce que l’équipement voit le reste du réseau ? Est-ce que le routeur et le switch voient l’équipement ? Mais comme faire un ping sur une balance de commerce ? Le menu de gestion de la balance ne permet pas de réaliser ce genre de commande et nous avons du chercher un autre moyen.

On s’est aperçu qu’il y avait un serveur ssh disponible et peut-être un compte/mot de passe par défaut qui n’aurait pas été changé ? Google n’a rien trouvé au niveau des configurations connues ou des accès par défaut alors on a un peu tâtonné. Les couples habituels « admin/admin », « admin/1234 », « admin/password » n’ont rien donné. Mais on cherchait trop compliqué en fait. Il suffisait d’utiliser le compte « root ». Il n’y a pas de mot de passe!

Dans le cas des balances Marques, il n’est même pas question de sécurité. Qui connait l’utilisateur « root » ? Et qui aurait en plus l’idée totalement folle de l’essayer sans mot de passe ? Notez que c’est tellement improbable qu’on ne l’a pas non plus testé tout de suite!

Les réponses du fabricant et quelques réflexions dans l'article complet ici...