Les thingbots arrivent...

Avec l’émergence de l’Internet des objets, de nombreux objets et appareils risquent de se transformer, si ce n’est déjà fait, en "objets connectés zombie" et ainsi être utilisés par des pirates pour commettre leurs méfaits.

Un botnet est un réseau de systèmes associés entre eux pour prendre le contrôle à distance et diffuser des logiciels malveillants (malware). Contrôlés par des opérateurs de botnets via des serveurs C & C (Commande et Contrôle), ils sont utilisés à grande échelle par les cyber malfaiteurs pour commettre leurs forfaits : vol de données confidentielles, exploitation de données bancaires en ligne, attaques par déni de service distribué (DDoS) ou encore pourriels et hameçonnage (e-mails d’arnaques de type phishing).

Le botnet à l’heure de l’Internet des Objets

Avec l’émergence de l’Internet des Objets (IoT), de nombreux objets et appareils risquent de se transformer, si ce n’est déjà fait, en thingbot ou « objet connecté zombie » – c’est-à-dire en un botnet intégrant plusieurs objets connectés indépendants.

Les botnets et les thingbots comprennent plusieurs appareils distincts interconnectés : ordinateurs fixes ou portables, smartphones, tablettes et autres objets « intelligents ». Ces objets partagent deux grandes caractéristiques communes : ils peuvent se connecter à Internet et transférer automatiquement des données sur un réseau. Si les technologies anti-spam détectent assez efficacement une machine qui envoie des milliers d’e-mails identiques, elles ont plus de mal avec les e-mails envoyés à partir de plusieurs appareils d’un même botnet. Ces machines ont toutes un objectif unique : si plusieurs milliers de requêtes atteignent une cible, la plateforme doit déployer une énergie considérable pour faire face à l’avalanche de requêtes et, la plupart du temps, celle-ci s’effondre.  

Les risques posés par les botnets sont considérables en cas d’attaques visant des infrastructures critiques ou des intrusions sur les réseaux des entreprises. L’exploitation des vulnérabilités d’un réseau permet aux botnets de s’y engouffrer facilement et de diffuser des malwares pour éventuellement contaminer d’autres équipements du réseau. Et bien souvent, l’attaque a lieu à l’insu du propriétaire de l’appareil.

Sur les objets du quotidien comme les imprimantes, les réfrigérateurs ou les téléviseurs, le niveau de sécurité n’est généralement pas le même que sur les smartphones ou les ordinateurs portables. Ces objets offrent donc aux hackers une porte d’entrée facile à forcer. Ainsi, à Noël dernier, l’attaque lancée sur les réseaux de la Xbox et de la PlayStation avait exploité des routeurs wi-fi personnels. Face à l’ampleur de cette désormais célèbre attaque par déni de service distribué (DDoS), Microsoft et Sony avaient été contraints de suspendre leurs services en ligne.

Avec l’explosion du nombre d’appareils dans l’Internet des Objets, les attaques sont vouées à se multiplier. De nombreux appareils sont conçus pour surveiller nos habitudes (à quelle heure nous rentrons chez nous et sommes susceptibles de vouloir que le chauffage soit allumé), tandis que d’autres nous aident à protéger notre domicile à l’aide d’une caméra connectée. Si les informations transmises présentent un intérêt pour notre confort et notre sécurité, elles sont également très convoitées par les malfaiteurs. Gardons à l’esprit que toute information accessible sur Internet risque, en l’absence de protection appropriée, d’être vue par des hackers.

Nous n’en sommes encore qu’aux débuts de l’Internet des Objets et la sécurité des développements est encore trop souvent insuffisante.

Différents niveaux de sécurité

Comment expliquer que nous soyons si vigilants sur la sécurité de nos ordinateurs et de nos opérations bancaires en ligne, et tellement négligents avec d’autres appareils qui méritent autant d’être protégés, comme les systèmes de thermostat intelligent ? Habitués aux systèmes d’authentification à deux facteurs pour les transactions bancaires en ligne, nous combinons volontiers le duo « mot de passe/nom d’utilisateur » avec un code de sécurité généré aléatoirement ou tout autre dispositif similaire. Mais curieusement, ce type d’authentification ne s’applique que très rarement aux appareils intelligents.

Du botnet au thingbot

Si les systèmes Windows ont, par le passé, constitué la principale cible des botnets, les terminaux Apple et Android sont aussi dans le viseur des cybercriminels. Et ils ne sont pas les seuls. Avec l’évolution rapide de l’Internet des Objets, ces appareils connectés se révèlent être d’ores et déjà une cible de choix.

Rien qu’en Allemagne, plus d’un million d’ordinateurs feraient partie d’un réseau de machines zombies. Avec 50 milliards d’appareils connectés prévus d’ici 2020, on conçoit aisément qu’un tel paradis pour les thingbots fasse rêver les hackers.

Sécuriser l’IdO à l’aide de déploiements PKI classiques

Les appareils connectés accroissent la menace, car ils représentent une cible facile. La majorité des utilisateurs n’a ni la possibilité ni les connaissances pour protéger convenablement ses appareils. De plus, l’énorme quantité d’objets connectés accroît les risques d’attaques d’envergure.

Basée sur des standards testés et éprouvés depuis des décennies, l’infrastructure PKI est suffisamment flexible pour s’adapter à l’évolution des besoins de l’IdO. Avec ses services d’authentification, de chiffrement et d’intégrité des données, elle répond aux trois principales exigences de sécurité et se pose en garante de la confiance dans l’écosystème IdO.

Authentification :
La PKI est utilisée depuis des décennies pour authentifier des machines et des serveurs ; c’est également un standard d’interopérabilité ouvert. Il s’agit ici d’authentifier des appareils sur les services cloud, des utilisateurs sur des appareils, et des appareils sur d’autres appareils.

Chiffrement :
En fonction des appareils qui rejoignent les bataillons d’objets connectés, la confidentialité devient un enjeu majeur. Les communications vers et depuis les appareils doivent donc être chiffrées. Les solutions basées sur les PKI offrent quelques mécanismes de chiffrement de base essentiels pour garantir la confidentialité des communications.

Intégrité des données :
Lorsque l’on envisage l’avenir de l’IdO, une partie de la valeur transformative dépend de la capacité des appareils à prendre des décisions et à agir par eux-mêmes, sans intervention humaine. Dans ces scénarios, la valeur et le risque sont directement liés à l’intégrité des données.