Attaques de botnet, tous les objets connectés ne sont pas logés à la même enseigne

Les récentes attaques qui ont touché les sites américains posent la question de la sécurité sur les équipements IoT et des solutions à mettre en œuvre pour éviter que cela ne devienne une habitude.

Que s'est-il passé ? 

Des pirates, plutôt malins, mais sans être des génies, ont profité de failles dans les systèmes embarqués des objets connectés courants (caméra IP, alarmes connectées, stations météo, et tout équipement de ce type branché sur internet via réseau Wifi ou smartphone) pour y introduire de petits logiciels qui, à leur demande, ont envoyé des requêtes de manière insistante sur des serveurs qu’ils ont choisi. 

Ces objets (et leurs propriétaires) se sont alors retrouvés malgré eux les outils d'une attaque sans précédent, car toutes ces requêtes cumulées ont fini par ralentir et même arrêter temporairement les services des sites visés. 

Comment est-ce possible ? 

Les équipements utilisés par les attaques de "bots nets" sont clairement de haut niveau en termes de processeur et de connectivité. Leurs caractéristiques matérielles et logicielles sont similaires aux mini-ordinateurs (type Rasperry) ou aux smartphones, mais, à la différence de ces derniers, dès qu'une faille est découverte elle n'est en général pas corrigée, car les fabricants n'ont pas encore intégré la sécurité dans leurs priorités. De plus, ces équipements sont connectés sur des réseaux de particuliers, grâce à des technologies Wifi ou Bluetooth, faciles à intercepter.

Si l'ampleur de l'attaque est impressionnante, le mode opératoire n'est pas nouveau. D'ailleurs le code qui a permis aux hackers de la perpétrer est disponible depuis plusieurs dizaines de jours sur le net (sur GitHub).

Comment éviter cela ?

Dans un premier temps, il s'agit pour les constructeurs de prendre conscience que leurs équipements sont de véritables petits micro-ordinateurs. Ces derniers sont capables de faire beaucoup d'autres choses que ce pour quoi ils sont vendus. Ils s’agit donc de mettre en place toutes les barrières possibles pour éviter que de petits malins profitent des interstices laissés par ceux qui les ont programmés.

Le défi reste de combiner expérience utilisateur fluide et mises à jour systèmes régulières (éviter que votre babyphone ne vous réveille à 3h du matin pour vous annoncer sa mise à jour, ou que votre four n'effectue la sienne quand vous avez 15 invités à la maison et que vous allez mettre le rôti à cuire). 

Dans un second temps, il s'agit de se poser la question de l'utilité de disposer de connections haut débit et autant de puissance de calcul dans ces machines. Il existe en effet une alternative qui, si elle n'est pas dénuée de failles, reste très intéressante et plus sécurisée : les réseaux LPWAN (Low-Power Wide-Area Network) dédiés à L'IoT comme par exemple Sigfox ou LoRa. 

L’intérêt des réseaux dédiés à l’IoT dans le domaine de la sécurité

Avec une bande passante disponible au maximum de quelques centaines de bits par seconde, les équipements, en général industriels, qui utilisent les réseaux Sigfox ou LoRa ne peuvent en aucun cas être impliqués dans ce genre d’attaque.

Ces équipements émettent de la donnée sans « destinataire » (pas ou très peu d’adressage) particulièrement dans le cas de Sigfox, ce qui rend un bot malveillant embarqué totalement inoffensif. Et en règle générale, la prise de contrôle de l’équipement à distance est impossible sans action physique sur l’équipement lui-même. Le recours à ces réseaux combiné à l’intégration de sécurité au cœur des équipements captant des données sensibles (consommation d’énergie, d’eau, présence / absence…) sont les garants d’une sécurité renforcée.

Pour prévenir de futurs piratages, il est essentiel que les constructeurs d’objets connectés intègrent la sécurité au niveau des objets en eux-mêmes, et aient recours à des réseaux de transmission de données sécurisés et adaptés à la nature des données captées.