Comment se prémunir contre les attaques d'objets connectés "zombies"

En septembre et octobre, des attaques massives en déni de service ont ébranlé le site KrebsonSecurity, l'hébergeur OVH et le fournisseur de DNS Dyn. Leur particularité : elles ont fait appel à une armada d'objets connectés infectés.

L'internet des objets est devenu le maillon faible des politiques de sécurité. Alors qu'antivirus et pare-feu protègent tant que bien que mal serveurs et postes fixes, les objets connectés semblent à nu face aux nouvelles menaces. Selon une étude d'Econocom, un quart des cyberattaques auront pour origine l'internet des objets d'ici trois ans.

L'actualité récente donne un avant-goût de ce qui nous attend. Ces derniers mois, les attaques massives en déni de service (DDoS) faisant appel à des réseaux d'objets connectés zombies se sont multipliées. La plus médiatisée est celle survenue aux Etats-Unis le 21 octobre dernier paralysant les sites de Twitter, Spotify, Airbnb, GitHub, Paypal, eBay ou du New York Times. Tous sont clients de Dyn, un prestataire de service de DNS - qui est conçu pour traduire un nom de domaine en adresse IP.

Les objets connectés, à la fois nombreux et mal sécurisés

Un botnet d'objets connectés - composé essentiellement de caméras IP d'un fabricant chinois - est venu saturer les serveurs de Dyn en générant des dizaines de millions de requêtes. Quelques semaines plus tôt, le site expert KrebsonSecurity et l'hébergeur français OVH avaient subi des attaques similaires utilisant le malware Mirai.

Le cabinet de conseil Sentryo a, sur son site, analysé le mode opératoire utilisé pour ces trois opérations d'envergure. Près de 500 000 machines auraient été compromises par Mirai selon Level 3. Depuis, un nouveau malware a d'ailleurs fait son apparition. Baptisé Linux/IRCTelnet, il s'attaque, comme son nom l'indique, aux objets fonctionnant sous Linux et se connectant via Telnet grâce au protocole IRC.

Cartographie DownDectector des pannes du réseau Internet de Level3. © Capture JDN

Les objets connectés du grand public, particulièrement vulnérables

Pour les experts en cybersécurité, il sera très difficile de s'attaquer aux racines du mal, à savoir les objets connectés. Ils présentent, selon Fabrice Clerc, fondateur de 6cure, le "triple avantage" d'être très nombreux, mal sécurisés et d'exploiter des protocoles aisément utilisables. "Il est inadmissible d'observer encore tant de devices connectés ayant pour mot de passe 'admin' ou '12345', disposant d'une bande passante internet de plusieurs dizaines de Mbps, y compris pour des flux n'ayant rien à voir avec leur fonction première", pointe l'expert.

Les objets connectés du grand public sont particulièrement vulnérables. Deux chercheurs ont récemment montré, vidéo à l'appui, comment ils avaient pris le contrôle d'ampoules connectées, essentiellement de la gamme Hue de Philips. Pour Emmanuel Besson, directeur technique de 6cure, "les fabricants devraient intégrer le volet sécurisation dès la conception des objets connectés". Une approche "security by design" qui a toutefois un coût. Un coût pouvant être rédhibitoire pour un produit qui ne doit pas dépasser 50 ou 100 euros pour rester compétitif. La sécurité n'est pas non plus la préoccupation première de fabricants d'électro-ménager ou de petits équipements domestiques.

Comment se préparer à l'attaque ?

Pour notre expert, il faut également sensibiliser les utilisateurs à ces risques même s'il se dit fataliste sur le sujet. "Beaucoup de particuliers laissent le mot de passe par défaut sur leur box, pourquoi en feraient-il autrement pour leur thermostat connecté ? Par ailleurs, l'accès à internet leur échappe quand il est utilisé, par exemple, pour mettre à jour à distance une nouvelle version du firmware", souligne-t-il.

Si l'analyse post mortem le dira, Emmanuel Besson estime que Dyn était a priori mal préparé à cette situation de crise alors qu'elle était, à ses yeux, prévisible. "Des attaques DDoS de ce type, on en voit tous les jours. Elle s'est distinguée par son ampleur et le nombre de sites touchés. Une attaque en déni de service par HTTP fait tomber un site. Avec le DNS, c'est de l'applicatif, on monte dans les couches. Tous les sites clients du fournisseur sont impactés", rappelle Emmanuel Besson.

Si les dispositifs de protection conviennent au quotidien, il faut, selon lui, adopter une configuration fine en situation de crise avec des seuils de filtrage plus bas. Tout en limitant aussi les effets de bord. "Des utilisateurs n'arrivant pas à accéder à Netflix ont tenté et retenté de se connecter au service, aggravant encore le problème. Il peut être décidé de couper momentanément ces usagers le temps que le service soit rétabli", indique le consultant. Cette stratégie doit être préparée plusieurs mois en amont après une phase d'audit et des tests de résistance au DDoS.

Réseau : ne pas mettre tous ses œufs dans le même panier

Pour Hervé Dhelin, directeur marketing d'EfficientIP, certains clients de Dyn sont fautifs car ils ont mis tous leurs œufs dans le même panier. "Twitter a externalisé tous ses serveurs DNS chez Dyn, générant une 'single point of failure'", pointe le spécialiste. "Netflix qui, lui, fait appel à deux fournisseurs de DNS a vu son trafic fortement ralenti mais pas stoppé." AWS ou UltraDNS proposent ce type de service. Ainsi en matière réseau, répartir les risques en faisant appel à plusieurs fournisseurs devient un point clé.

Hybrider son architecture cloud pour mieux se protéger

Autre axe de défense possible : mettre en œuvre une architecture hybride avec une partie dans le cloud, et une autre hébergée en interne. "Cette deuxième option présente un surcoût mais les équipes IT ont toujours opté pour la redondance, que ce soit en matière d'infrastructure ou de système de protection. Sur deux types de firewall, si l'un est affecté par une faille, l'autre ne le sera pas a priori", détaille Hervé Dhelin.

L'expert pointe aussi du doigt les technologies en licence libre utilisées sur les serveurs DNS. "L'environnement Bind est à la fois le plus utilisé dans le monde et celui qui présente le plus de vulnérabilités", note-t-il. "On peut mixer cette technologie avec d'autres issues également du monde open source comme les moteurs NSD et Unbound, par ailleurs plus performants."

Un nouveau risque : la fuite de données

Pour Hervé Dhelin, ces attaques contre Dyn ou OVH sont médiatiques car visibles, mais elles ne représentent que la face émergée de l'iceberg. Selon une étude d'EfficientIP réalisée auprès de mille répondants, plus de 70% des entreprises ont été victimes de ce type fléau pour un coût moyen d'un million de dollars.

Frédéric Salles est président de Matooma, une start-up spécialisée dans la connexion des objets connectés. © Matooma

Une menace d'autant plus grande que, pour Hervé Dhelin, la prochaine étape sera la fuite de données. Cette dernière est rendue d'autant plus facile que les smartphones, les montres et autres bracelets connectés se multiplient en entreprise avec l'essor du Byod. "Nous avons montré aux dernières Assises de la sécurité qu'il était possible d'exfiltrer un fichier de cartes de crédit de façon transparente en créant un tunnel de requêtes DNS. Cette fuite de données est beaucoup plus sournoise. Une entreprise met en moyenne 146 jours pour détecter ce type de fuite", explique Hervé Dhelin.

Or, en 2018, avec le GDPR (Global data privacy reglementation), le nouveau règlement européen sur les données personnelles, les entreprises auront 72 heures pour signaler ce type d'incident. L'amende en cas de manquement pouvant aller jusqu'à 4% du chiffre d'affaires annuel ou 20 millions d'euros.

Couper l'accès des objets connectés à internet

Matooma a fait, lui, un choix radical. Cette start-up montpelliéraine spécialisée dans la connexion et la gestion des objets connectés par carte Sim multi-opérateurs, a préféré couper ses produits de l'internet public. La société, qui compte des clients dans le domaine de la santé (avec des boîtiers médaillons pour les personnes âgées), la sécurité et l'industrie, a lancé, en début d'année, un sous-réseau baptisé MatooWan.

Matooma a pour cela créé son propre cœur de réseau (backbone) qu'elle a relié avec celui des quatre opérateurs avec lesquels elle travaille (SFR, Orange, KPN et Sierra Wireless) en tirant de la fibre dédiée. Soit un investissement d'un million d'euros et 18 mois de R&D. "Internet, c'est bien pour les humains, pas pour les objets", estime Frédéric Salles, son président. "Avec ce sous-réseau, ils deviennent invisibles et donc insensibles au 'pinging' et aux malwares."

Au-delà de l'aspect sécuritaire évident - la plupart des véhicules connectés passent par une carte Sim - se pose la question du surcoût que génère ce type d'attaque. "Les hackers vont 'pinger' toutes les adresses IP. Et s'ils n'arrivent pas à leurs fins, ils provoquent une surconsommation du trafic de données, faisant exploser la facture", poursuit Frédéric Salles. A ses yeux, les logiciels de sécurisation (firewall, chiffrement…) ne résolvent pas le problème tout en entraînant, eux aussi, une surconsommation. Quinze clients de Matooma ont déjà basculé sur MatooWan, les autres devraient migrer progressivement.

IoT