Revenir au site

Les objets attaquent (06/11/16)

Les objets attaquent (06/11/16)

Censés nous obéir au doigt et à l’œil, les objets connectés peuvent se transformer en armes numériques et paralyser nos vies. La conquête de ces nouveaux OVNI (Objets Vivants Non Inventoriés) a commencé.

Le 21 octobre 2016 marquera t-il un tournant dans l’histoire de la sécurité des objets connectés ? Réfrigérateurs, thermostats, machines à café, pèse-personne, caméras de surveillance… ont été infectés par un virus qui les a transformé en une armée mobilisée pour attaquer des serveurs de la côte Est des Etats-Unis et paralyser, pendant plusieurs heures, plusieurs sites internet grand public. Dans le détail, cette attaque a pris la forme d’une saturation du réseau (cela s’appelle aussi « déni de service distribué » ou DDOS : « Distributed Denial of Service »). En clair, les pirates ont réussi à rendre inaccessibles des sites internet en envoyant simultanément des milliers de requêtes vers les serveurs de la société DYN[1] qui gère un grande nombre de noms de domaine (ou DNS[2]). Si pour l’utilisateur, cela s’est simplement manifesté par l’impossibilité d’accéder à Netflix, Twitter, Reddit, Spotify, Amazon…, du côté de l’hébergeur, ses serveurs ont littéralement disjonctés du fait de ce tsunami de requêtes simultanées.

Si de telles attaques du réseau ne sont pas rares, celle de fin octobre diffère de toutes les précédentes car les pirates ont utilisé le  virus « Mirai »[3] pour prendre le contrôle de milliers d’objets connectés. La cible est tentante car ces objets qui envahissent nos vies (objets domotiques ou faisant partie de notre environnement quotidien : réveil, cafetière, pèse personne….) n’ont généralement ni antivirus ni systèmes de détection de logiciels malveillants et se trouvent donc (très) faciles à « hacker ». Une fois infecté, l’objet connecté peut être commandé à distance et ainsi devenir une véritable arme pour bloquer des infrastructures techniques indispensables au fonctionnement du réseau internet. C’est cette logique qui a été celle des « pirates du 21 octobre », ces derniers ne se privant pas de diffuser ensuite le code source de leur virus sur un site de hacking[4], permettant à n’importe qui d’en répliquer le fonctionnement.

La sécurité au centre des enjeux

Cette attaque de grande ampleur nous rappelle à la fois les promesses et la fragilité du monde connecté dans lequel nous vivons. Un monde où la multiplication rapide des objets connectés ne fait qu'augmenter les chances de ce genre d’attaque et où notre vulnérabilité n’est plus seulement le fait de nos ordinateurs, mais à présent de nos réfrigérateurs ou de nos lampes... Au centre des futurs enjeux liés à l’avènement des objets connectés, la question de la sécurité est la clé. Quand, et si l’on en croit l’étude Ericsson Mobility Report[5], 28 milliards de terminaux mobiles seront en circulation d’ici à 2021, dont 16 milliards d’objets connectés, ces derniers se devront d’être soumis à de nouveaux protocoles de protection. Sans cela, ce que le réseau internet a vécu le 21 octobre 2016 pourrait bien faire partie de notre futur proche en entrainant des conséquences catastrophiques tant pour les individus que pour les Etats. Ce risque de futures attaques de plus en plus fréquentes risquant de paralyser tout ou partie du réseau est pris très au sérieux par certains Etats ainsi que par l’Union Européenne[6]. Cette dernière étudie d’ailleurs le fait d’imposer une législation spécifique pour l’internet des objets et/ou d’ajouter de nouveaux éléments législatifs que les pays membres devront mettre en œuvre. Pour l’heure, le problème est que ces appareils sont difficiles à protéger du fait que leurs identifiants ne sont pas ou peu modifiables[7]. Cette analyse venant d’être confirmée par le cabinet américain de cyber sécurité Flashpoint[8] : selon lui, plus de 500 000 objets connectés seraient déjà totalement vulnérables à de futures attaques sans qu’il soit possible de les « vacciner » contre ces virus d’un nouveau genre sauf à inventer de nouveaux antivirus capables, à l’avance, de déjouer les scenarii des pirates.

Le réveil des objets

S’il est devenu évident que le développement de l'internet des objets ne se réalisera qu’à la condition que la sécurité soit assurée, le potentiel de ce marché reste immense du fait de cette nouvelle ère de la connexion permanente. Tous les secteurs sont concernés : grande consommation, transports, santé, immobilier… la promesse de ces objets connectés est  « de nous faciliter la vie pour mieux la monétiser[9] ». Qu’il s’agisse de la voiture autonome et connectée en passant par la ville intelligente, le big data et les algorithmes, les objets connectés vont étendre leur emprise et créer un nouvel univers numérique quantifiable et « sous contrôle ». En prenant le seul exemple de la ville connectée, chaussées, lampadaires, conteneurs à ordures, caméras de contrôle… autant d’objets connectés pilotés par des machines et demain la cible de pirates. Les villes intelligentes bardées de capteurs, de logiciels et d’objets connectés sont-elles vraiment aussi sécurisées comme les présentent leurs concepteurs ? Il est possible d’en douter comme en témoigne cet exemple de «hacking» qui a permis à Cesar Cerrudo[10], consultant argentin spécialiste de la sécurité des réseaux informatiques, de prouver qu’il avait la capacité de faire passer lui-même les feux du vert au rouge ou de rendre gratuite une zone de stationnement habituellement payante ; le tout grâce à des programmes capables de s’interfacer sur les logiciels utilisés, bref de prendre le contrôle du mobilier urbain connecté. Aux traditionnelles menaces qui pèsent sur la ville – terrorisme, catastrophes naturelles… - il en est à présent d’autres qui défient ces villes intelligentes et qui les rendent vulnérables aux dérèglements technologiques. « Nos villes faites d’atomes et de bits d’information seraient-elles plus fragiles que celles en brique, en pierre et en béton qui les ont précédées.» s’interroge le sociologie Antoine Picon[11]. Cette ville « hackée » n’étant que l’un des volets du début de cette saga sur la sécurité des objets connectés, nouveaux OVNI (Objets Vivants Non Inventoriés) et futurs zombies manipulés à distance par leurs maîtres. Bref, un scenario digne d’un film de science-fiction mais qui pourrait bien devenir réalité.

Retrouvez mes chroniques parues sur le blog latribune.fr

[1] http://dyn.com/blog/dyn-statement-on-10212016-ddos-attack/

[2] Le DNS (ou Domain Name System, système de noms de domaine) est un service permettant de traduire un nom de domaine en informations de plusieurs types qui y sont associées, notamment l’adresse IP d’une machine qu’elle soit un ordinateur, un smartphone ou un objet connecté.

[3] https://medium.com/@networksecurity/shadows-kill-mirai-ddos-botnet-testing-large-scale-attacks-sending-threatening-messages-about-6a61553d1c7#.7ebp6d4k6

[4] https://krebsonsecurity.com/2016/10/source-code-for-iot-botnet-mirai-released/

[5] https://www.ericsson.com/mobility-report?utm_source=dotcom%2520&utm_medium=banner&utm_campaign=Mobility%2520Report%2520June%25202016

[6] https://ec.europa.eu/digital-single-market/en/cybersecurity

[7] Il s’agit du protocole Telnet qui est un protocole standard sur internet. Il autorise les communications entre un client et un serveur via des lignes de textes. Cela signifie qu'il permet d'exécuter des commandes sur une machine distante.

[8] https://www.flashpoint-intel.com/action-analysis-mirai-botnet-attacks-dyn/

[9] in livre L’homme nu : Marc Dugain et Christophe Labbé – Robert Laffon / Plon, 2016

[10] https://www.wired.com/2014/04/traffic-lights-hacking/

[11] http://www.club-ville-amenagement.org/_upload/ressources/productions/5a7/2015/cr_cva__5a7_numerique_a.picon_241115.pdf