Internet des Objets : un potentiel d’intrusions extrêmement important

L’Internet des Objets (IdO) – le concept selon lequel les appareils domestiques traditionnels sont interconnectés et échangent des données – ne relève pas de la science-fiction mais, au contraire, se fait tous les jours de plus en plus présent dans notre quotidien.

Des systèmes d’éclairage intelligents aux parcmètres, en passant par les bracelets connectés, l’IdO améliore la communication et le partage d’informations mais ouvre aussi de nouvelles portes aux cybercriminels.

Quels appareils présentent un risque ?

L’IdO se compose de divers appareils offrant un usage spécifique tout en étant capables de se connecter à Internet pour s’enrichir de nouvelles fonctionnalités. Cette gamme d’appareils s’étend des nouveaux décodeurs fournissant du contenu à la demande, aux distributeurs d’eau et de nourriture pour animaux contrôlables à distance, en passant par les téléviseurs intelligents jusqu’à la nouvelle génération de réfrigérateurs qui actualisent votre liste de course quand le frigidaire est vide ou encore aux appareils domotiques et thermostats intelligents développés par la société NEST, récente acquisition de Google.
La plupart de ces appareils utilisent des systèmes d’exploitation personnalisés, peuvent être connectés à un réseau et ainsi s’enrichir de nouvelles fonctions en installant simplement un plug-in ou via des mises à jour du firmware. Puisqu’ils ne sont ni des ordinateurs ni de l’électronique grand public (mais plutôt une version hybride des deux), ils ont été développés avec peu, voire pas, de considérations de sécurité. Les appareils nomades tels que les bracelets de fitness évoqués ci-dessus ont été conçus dans un esprit de miniaturisation et de performance de la batterie, avec pour conséquence la négligence des aspects liés à la sécurité.

Une chambre avec vue ? Plutôt une vue sur la chambre !

Les téléviseurs connectés et les appareils électroménagers ne sont pas les seuls objets que l’on peut connecter à Internet. Des millions d’autres appareils, comme les interphones pour bébés et les caméras de surveillance IP, représentent aussi une grande partie de l’IdO. La caméra IP familiale de TrendNet sortie en 2012 et qui permettait à tout un chacun d’observer en temps réel ce qui se passait dans son magasin, son salon ou n’importe quels autres lieux, est un exemple parmi d’autres. Sachant cela, imaginez que tous les téléviseurs connectés soient équipés d’une caméra et d’un micro qui pourraient être activés à distance.

Qui aurait intérêt à pirater mon réfrigérateur ?

Bien que le nombre d’objets se connectant à Internet soit particulièrement élevé, les cybercriminels ont souvent fait l’impasse sur ces appareils à cause du challenge que représente le contournement de leur sécurité ou de l’impossibilité de s’y connecter facilement. La plupart de ces objets exécutent des distributions Linux personnalisées, la seule façon de les compromettre est donc de leur envoyer, un peu au hasard, des commandes Ping sur Internet (permettant de tester l'accessibilité d'une autre machine à travers un réseau IP), de tenter de réaliser des attaques par force brute afin de récupérer leurs identifiants SSH (Secure Shell – protocole de communication sécurisé) souvent définis avec des logs du type admin/admin ou admin/root, puis d’uploader un virus personnalisé, créé pour les architectures MIPS ou ARM.
C’est ainsi que des chercheurs anonymes, auteurs du dernier recensement d’Internet, ont réussi à créer un réseau de machines zombies baptisé Carna Botnet, alors qu’ils cartographiaient l’Internet en 2012. Quant aux appareils mobiles qui se connectent via la 3G, ils sont plus difficiles à « contacter » car leur connexion passe par le proxy de l’opérateur téléphonique – ils n’ont pas une adresse IP propre par connexion mais partagent la même adresse IP avec plusieurs autres appareils 3G.
Peu importe la façon dont la compromission se fait, l’IdO offre un potentiel d’intrusions extrêmement important. Bien sûr, en fonction de leur configuration matérielle et de la connexion Internet, ces objets peuvent être utilisés de façon malveillante pour différentes tâches, de la récupération de données à l’envoi de spams, mais leur potentiel est surtout considérable dans le cadre d’attaques par déni de service (DDoS).
Selon Gartner, environ un milliard d’objets sont connectés à Internet à ce jour, et la moitié d’entre eux est capable d’exécuter au minimum une requête DNS. Cela est plus que suffisant pour intéresser les cybercriminels.

Comment un réfrigérateur peut-il vous priver d’Internet ?

Par défaut, tous les appareils connectés à Internet savent convertir les noms de domaine en adresses IP. Cette fonction est appelée la résolution DNS et s’effectue en interrogeant les serveurs DNS, à commencer par celui du routeur, puis ceux mis en place par le FAI et enfin le serveur DNS faisant autorité pour les domaines de premier niveau (TLD – Top-Level Domain). Étant donné que le système DNS a besoin d’être très rapide afin de minimiser les délais, les requêtes sont envoyées via UDP (User Datagram Protocol), un protocole qui ne valide pas l’identité du serveur. Un pirate peut, par exemple, utiliser votre réfrigérateur pour faire une requête DNS étendue et faire croire qu’il s’agit d’un tiers (ex : le serveur de l’entreprise) qui a demandé l’information. La quantité de données DNS – multipliée par un facteur variable – est alors envoyée à la victime : plus il y a de fausses requêtes au nom de la victime et plus l’impact de l’attaque est grand. Ce fut le cas lors de l’attaque contre Spamhaus en mars 2013 qui avait atteint des pointes de trafic à 300 Gops.

Où allons-nous ?

L’Internet des Objets connaît une croissance fulgurante puisque les appareils électroniques grand public intelligents se sont immiscés dans les foyers. Selon une étude de Cisco, l’IdO atteindra les 50 milliards d’appareils dans moins de 6 ans. Mais la pénétration de l’IdO ne se limite pas aux chiffres, ces derniers commencent aussi à contrôler de plus en plus d’aspects de notre vie quotidienne comme l’éclairage ambiant, la température ou la sécurité physique des personnes. Et même si nous espérons que ces « objets » ne deviennent pas une source de danger ou de perturbation pour leurs propriétaires, il y a de fortes chances pour que quelqu’un, quelque part, les utilise un jour à des fins malveillantes.