Internet des Objets : un potentiel d’intrusions extrêmement important
L’Internet des Objets (IdO) – le concept selon lequel les appareils domestiques traditionnels sont interconnectés et échangent des données – ne relève pas de la science-fiction mais, au contraire, se fait tous les jours de plus en plus présent dans notre quotidien.
Des systèmes d’éclairage intelligents aux parcmètres, en passant par les bracelets connectés, l’IdO améliore la communication et le partage d’informations mais ouvre aussi de nouvelles portes aux cybercriminels.Quels appareils présentent un risque ?
L’IdO se compose de divers appareils offrant un usage spécifique tout en étant capables de se connecter à Internet pour s’enrichir de nouvelles fonctionnalités. Cette gamme d’appareils s’étend des nouveaux décodeurs fournissant du contenu à la demande, aux distributeurs d’eau et de nourriture pour animaux contrôlables à distance, en passant par les téléviseurs intelligents jusqu’à la nouvelle génération de réfrigérateurs qui actualisent votre liste de course quand le frigidaire est vide ou encore aux appareils domotiques et thermostats intelligents développés par la société NEST, récente acquisition de Google.La plupart de ces appareils utilisent des systèmes d’exploitation personnalisés, peuvent être connectés à un réseau et ainsi s’enrichir de nouvelles fonctions en installant simplement un plug-in ou via des mises à jour du firmware. Puisqu’ils ne sont ni des ordinateurs ni de l’électronique grand public (mais plutôt une version hybride des deux), ils ont été développés avec peu, voire pas, de considérations de sécurité. Les appareils nomades tels que les bracelets de fitness évoqués ci-dessus ont été conçus dans un esprit de miniaturisation et de performance de la batterie, avec pour conséquence la négligence des aspects liés à la sécurité.
Une chambre avec vue ? Plutôt une vue sur la chambre !
Les téléviseurs connectés et les appareils électroménagers ne sont pas les seuls objets que l’on peut connecter à Internet. Des millions d’autres appareils, comme les interphones pour bébés et les caméras de surveillance IP, représentent aussi une grande partie de l’IdO. La caméra IP familiale de TrendNet sortie en 2012 et qui permettait à tout un chacun d’observer en temps réel ce qui se passait dans son magasin, son salon ou n’importe quels autres lieux, est un exemple parmi d’autres. Sachant cela, imaginez que tous les téléviseurs connectés soient équipés d’une caméra et d’un micro qui pourraient être activés à distance.Qui aurait intérêt à pirater mon réfrigérateur ?
Bien que le nombre d’objets se connectant à Internet soit particulièrement élevé, les cybercriminels ont souvent fait l’impasse sur ces appareils à cause du challenge que représente le contournement de leur sécurité ou de l’impossibilité de s’y connecter facilement. La plupart de ces objets exécutent des distributions Linux personnalisées, la seule façon de les compromettre est donc de leur envoyer, un peu au hasard, des commandes Ping sur Internet (permettant de tester l'accessibilité d'une autre machine à travers un réseau IP), de tenter de réaliser des attaques par force brute afin de récupérer leurs identifiants SSH (Secure Shell – protocole de communication sécurisé) souvent définis avec des logs du type admin/admin ou admin/root, puis d’uploader un virus personnalisé, créé pour les architectures MIPS ou ARM.C’est ainsi que des chercheurs anonymes, auteurs du dernier recensement d’Internet, ont réussi à créer un réseau de machines zombies baptisé Carna Botnet, alors qu’ils cartographiaient l’Internet en 2012. Quant aux appareils mobiles qui se connectent via la 3G, ils sont plus difficiles à « contacter » car leur connexion passe par le proxy de l’opérateur téléphonique – ils n’ont pas une adresse IP propre par connexion mais partagent la même adresse IP avec plusieurs autres appareils 3G.
Peu importe la façon dont la compromission se fait, l’IdO offre un potentiel d’intrusions extrêmement important. Bien sûr, en fonction de leur configuration matérielle et de la connexion Internet, ces objets peuvent être utilisés de façon malveillante pour différentes tâches, de la récupération de données à l’envoi de spams, mais leur potentiel est surtout considérable dans le cadre d’attaques par déni de service (DDoS).
Selon Gartner, environ un milliard d’objets sont connectés à Internet à ce jour, et la moitié d’entre eux est capable d’exécuter au minimum une requête DNS. Cela est plus que suffisant pour intéresser les cybercriminels.