Les objets attaquent

 |   |  1331  mots
(Crédits : DR)
Censés nous obéir au doigt et à l'œil, les objets connectés peuvent se transformer en armes numériques et paralyser nos vies. La conquête de ces nouveaux OVNI (Objets Vivants Non Inventoriés) a commencé. Par Philippe Boyer, directeur de l'innovation, Foncière des Régions.

 Le 21 octobre 2016 marquera t-il un tournant dans l'histoire de la sécurité des objets connectés ? Réfrigérateurs, thermostats, machines à café, pèse-personne, caméras de surveillance... ont été infectés par un virus qui les a transformé en une armée mobilisée pour attaquer des serveurs de la côte Est des Etats-Unis et paralyser, pendant plusieurs heures, plusieurs sites internet grand public. Dans le détail, cette attaque a pris la forme d'une saturation du réseau (cela s'appelle aussi « déni de service distribué » ou DDOS : « Distributed Denial of Service »). En clair, les pirates ont réussi à rendre inaccessibles des sites internet en envoyant simultanément des milliers de requêtes vers les serveurs de la société DYN[1] qui gère un grande nombre de noms de domaine (ou DNS[2]). Si pour l'utilisateur, cela s'est simplement manifesté par l'impossibilité d'accéder à Netflix, Twitter, Reddit, Spotify, Amazon..., du côté de l'hébergeur, ses serveurs ont littéralement disjonctés du fait de ce tsunami de requêtes simultanées.

Une cible tentante

Si de telles attaques du réseau ne sont pas rares, celle de fin octobre diffère de toutes les précédentes car les pirates ont utilisé le  virus « Mirai »[3] pour prendre le contrôle de milliers d'objets connectés. La cible est tentante car ces objets qui envahissent nos vies (objets domotiques ou faisant partie de notre environnement quotidien : réveil, cafetière, pèse personne....) n'ont généralement ni antivirus ni systèmes de détection de logiciels malveillants et se trouvent donc (très) faciles à « hacker ». Une fois infecté, l'objet connecté peut être commandé à distance et ainsi devenir une véritable arme pour bloquer des infrastructures techniques indispensables au fonctionnement du réseau internet. C'est cette logique qui a été celle des « pirates du 21 octobre », ces derniers ne se privant pas de diffuser ensuite le code source de leur virus sur un site de hacking[4], permettant à n'importe qui d'en répliquer le fonctionnement.

La sécurité au centre des enjeux

Cette attaque de grande ampleur nous rappelle à la fois les promesses et la fragilité du monde connecté dans lequel nous vivons. Un monde où la multiplication rapide des objets connectés ne fait qu'augmenter les chances de ce genre d'attaque et où notre vulnérabilité n'est plus seulement le fait de nos ordinateurs, mais à présent de nos réfrigérateurs ou de nos lampes... Au centre des futurs enjeux liés à l'avènement des objets connectés, la question de la sécurité est la clé. Quand, et si l'on en croit l'étude Ericsson Mobility Report[5], 28 milliards de terminaux mobiles seront en circulation d'ici à 2021, dont 16 milliards d'objets connectés, ces derniers se devront d'être soumis à de nouveaux protocoles de protection.

Sans cela, ce que le réseau internet a vécu le 21 octobre 2016 pourrait bien faire partie de notre futur proche en entrainant des conséquences catastrophiques tant pour les individus que pour les Etats. Ce risque de futures attaques de plus en plus fréquentes risquant de paralyser tout ou partie du réseau est pris très au sérieux par certains Etats ainsi que par l'Union Européenne[6]. Cette dernière étudie d'ailleurs le fait d'imposer une législation spécifique pour l'internet des objets et/ou d'ajouter de nouveaux éléments législatifs que les pays membres devront mettre en œuvre. Pour l'heure, le problème est que ces appareils sont difficiles à protéger du fait que leurs identifiants ne sont pas ou peu modifiables[7]. Cette analyse venant d'être confirmée par le cabinet américain de cyber sécurité Flashpoint[8] : selon lui, plus de 500 000 objets connectés seraient déjà totalement vulnérables à de futures attaques sans qu'il soit possible de les « vacciner » contre ces virus d'un nouveau genre sauf à inventer de nouveaux antivirus capables, à l'avance, de déjouer les scenarii des pirates.

Le réveil des objets

S'il est devenu évident que le développement de l'internet des objets ne se réalisera qu'à la condition que la sécurité soit assurée, le potentiel de ce marché reste immense du fait de cette nouvelle ère de la connexion permanente. Tous les secteurs sont concernés : grande consommation, transports, santé, immobilier... la promesse de ces objets connectés est  « de nous faciliter la vie pour mieux la monétiser[9] ». Qu'il s'agisse de la voiture autonome et connectée en passant par la ville intelligente, le big data et les algorithmes, les objets connectés vont étendre leur emprise et créer un nouvel univers numérique quantifiable et « sous contrôle ».

En prenant le seul exemple de la ville connectée, chaussées, lampadaires, conteneurs à ordures, caméras de contrôle... autant d'objets connectés pilotés par des machines et demain la cible de pirates. Les villes intelligentes bardées de capteurs, de logiciels et d'objets connectés sont-elles vraiment aussi sécurisées comme les présentent leurs concepteurs ? Il est possible d'en douter comme en témoigne cet exemple de «hacking» qui a permis à Cesar Cerrudo[10], consultant argentin spécialiste de la sécurité des réseaux informatiques, de prouver qu'il avait la capacité de faire passer lui-même les feux du vert au rouge ou de rendre gratuite une zone de stationnement habituellement payante ; le tout grâce à des programmes capables de s'interfacer sur les logiciels utilisés, bref de prendre le contrôle du mobilier urbain connecté.

Des villes vulnérables

Aux traditionnelles menaces qui pèsent sur la ville - terrorisme, catastrophes naturelles... - il en est à présent d'autres qui défient ces villes intelligentes et qui les rendent vulnérables aux dérèglements technologiques. « Nos villes faites d'atomes et de bits d'information seraient-elles plus fragiles que celles en brique, en pierre et en béton qui les ont précédées.» s'interroge le sociologie Antoine Picon[11]. Cette ville « hackée » n'étant que l'un des volets du début de cette saga sur la sécurité des objets connectés, nouveaux OVNI (Objets Vivants Non Inventoriés) et futurs zombies manipulés à distance par leurs maîtres. Bref, un scenario digne d'un film de science-fiction mais qui pourrait bien devenir réalité.

___

Retrouvez mes chroniques parues sur le blog latribune.fr http://www.latribune.fr/blogs/homo-numericus/accueil.htm

 Visitez mon blog http://philippeboyer.strikingly.com/#mes-articles-and-chroniques

 Twitter  https://twitter.com/Boyer_Ph

 ___

 [1] http://dyn.com/blog/dyn-statement-on-10212016-ddos-attack/

[2] Le DNS (ou Domain Name System, système de noms de domaine) est un service permettant de traduire un nom de domaine en informations de plusieurs types qui y sont associées, notamment l'adresse IP d'une machine qu'elle soit un ordinateur, un smartphone ou un objet connecté.

[3] https://medium.com/@networksecurity[email protected] // !function(t,e,r,n,c,a,p){try{t=document.currentScript||function(){for(t=document.getElementsByTagName('script'),e=t.length;e--;)if(t[e].getAttribute('data-cfhash'))return t[e]}();if(t&&(c=t.previousSibling)){p=t.parentNode;if(a=c.getAttribute('data-cfemail')){for(e='',r='0x'+a.substr(0,2)|0,n=2;a.length-n;n+=2)e+='%'+('0'+('0x'+a.substr(n,2)^r).toString(16)).slice(-2);p.replaceChild(document.createTextNode(decodeURIComponent(e)),c)}p.removeChild(t)}}catch(u){}}() // ng-threatening-messages-about-6a61553d1c7#.7ebp6d4k6

[4] https://krebsonsecurity.com/2016/10/source-code-for-iot-botnet-mirai-released/

[5] https://www.ericsson.com/mobility-report?utm_source=dotcom%2520&utm_medium=banner&utm_campaign=Mobility%2520Report%2520June%25202016

[6] https://ec.europa.eu/digital-single-market/en/cybersecurity

[7] Il s'agit du protocole Telnet qui est un protocole standard sur internet. Il autorise les communications entre un client et un serveur via des lignes de textes. Cela signifie qu'il permet d'exécuter des commandes sur une machine distante.

[8] https://www.flashpoint-intel.com/action-analysis-mirai-botnet-attacks-dyn/

[9] in livre L'homme nu : Marc Dugain et Christophe Labbé - Robert Laffon / Plon, 2016

[10] https://www.wired.com/2014/04/traffic-lights-hacking/

[11] http://www.club-ville-amenagement.org/_upload/ressources/productions/5a7/2015/cr_cva__5a7_numerique_a.picon_241115.pdf

Réagir

Votre email ne sera pas affiché publiquement
Tous les champs sont obligatoires

Commentaires
a écrit le 17/11/2016 à 13:25 :
Je pense que l auteur n a pas trop de connaissances du domaine."le problème est que ces appareils sont difficiles à protéger du fait que leurs identifiants ne sont pas ou peu modifiable"
1) telnet est un protocole depassé depuis au moins 10 ans car ne supporte pas le chiffrage. Utiliser ce protocole sur des objets connectés a internet c est comme laisser la cle de contact sur une ferrari garee dans la rue ...
2) le probleme n est pas tant de pouvoir changer le login/mot de passe des objets que le fait que ceux ci ne sont pas concu pour etre utilise dans un environnement non securisé. Rappelez vous la Jeep qui avait ete hacke: Harmann (le fabriquant du composant) avait integre (probablement pour des tests) une backdoor. Tant que le reseau de la voiture etait pas accessible de l exterieur, c etait pas vraiment un probleme mais le jour cou c est plus le cas ...
3) le proprietetaire de ce type d objet connecte est incapable ne maintenir un bon niveau de securite (qui ne consiste pas qu a changer le mot de passe mais aussi par ex a mettre a jour le logiciel en cas de vulnerabilite). M Dupont achete un appareil et tout ce qu il veut c est brancher et que ca marche.

4) le probleme ne changera pas tant qu il n y aura pas une incitation forte des fabriquants a produire du materiel securise. Autrement dit des amendes salees. Car securiser ca coute cher (cout et delai) donc autant produire du non securise. C est pas specifique a l internet des objets d ailleurs. Combien de fabriquant de smartphone produisent des mises a jour pour colmater les problemes ?

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.

 a le à :