Qui dit numérique, dit problème de sécurité. C’est ce que vient de nous démontrer la société Proofpoint qui révèle une cyberattaque massive à partir d’objets connectés.
L’Internet des objets connectés est un des domaines du numérique en plein développement. Une véritable révolution est en marche. La numérisation va chambouler presque tous les domaines de marchés actuels et permettre l’émergence de nouveaux constructeurs, utilisateurs et autres acteurs malfaisants.
Dans un tout récent article publié par le magazine Wired, l’expert reconnu Bruce SchneierThe Internet of Things Is Wildly Insecure — And Often Unpatchable affirme que nous sommes « au début d’une crise pour ce qui concerne les systèmes embarqués, où l’informatique est enfouie dans les systèmes eux-mêmes, et l’Internet des objets. Ces systèmes sont plein de vulnérabilités et il n’y a pas de bonnes façons de les patcher ».L’expert en sécurité compare la présente situation avec celle que nous avons connue avec la diffusion des PC qui étaient « criblés de vulnérabilités ». Les fournisseurs essayaient de garder secrètes ces vulnérabilités et ne proposaient pas les mises à jour très rapidement. Et lorsque ces mises à jour étaient diffusées, elles étaient difficiles, voire impossible à installer.
Cette situation a changé dans les 20 dernières années grâce à un ensemble de mécanismes et de technologies : la publication des vulnérabilités force les fournisseurs à proposer les patches plus rapidement et lancer les mises à jour automatisées. Le résultat n’est pas parfait mais la situation s’est nettement améliorée considère Bruce Schneier.
Avec l’Internet des objets, la grande différence est que, par conception, ces objets sont connectés dès leur mise en œuvre. Et Bruce Scheiner continue son article à charge en expliquant que les composants utilisés dans ces objets, qui sont fabriqués par des constructeurs comme Broadcom, Qualcomm, and Marvell, sont bon marché et dégagent de faibles marges. Et les fabricants des objets (les ODM pour original device manufacturers) choisissent les composants les moins chers et y ajoutent des logiciels qui ne sont des plus récents. Une enquête montrait sur un échantillon d’objets que la version de Linux avait quatre ans et celle de Samba six ans. Ces logiciels pouvaient être patchés mais ne l’étaient pas le plus souvent. Enfin, contrairement aux pratiques de l’open source, le code n’était pas accessible.
Bref une situation extrêmement préoccupante. Quelques jours seulement après la publication de cet article, le spécialiste de la sécurité Proofpoint confirmait les dires de Bruce Schneier et vérifiait ses mises en garde. Dans la publication de son rapport de sécurité de décembre, la société basée à Sunnyvale a révélé ce qu’elle considère comme la première cyberattaque à de nombreux objets connectés dont un réfrigérateur (Your Fridge is Full of SPAM: Proof of An IoT-driven Attack) et des télévisions.
Proofpoint explique que les pirates ont pénétré ces objets pour créer une plate-forme baptisée « Thingbots »permettant d’envoyer depuis ces appareils des centaines de milliers de spams. C’est ainsi que pendant la période du 23 décembre au 6 janvier, plus de 750 000 mails ont été envoyés à des entreprises ou à des particuliers.
Cette situation, jusqu’ici théorique, prend donc une dimension concrète et urgente. La société américaine considère que cette révélation a des « retombées très importantes en termes de sécurité en raison de la diffusion massive des objets connectés que l’on observe actuellement ».
« L’existence des Bot-nets est très préoccupante et l’émergence de ces Thingbots aggrave la situation », considère David Knight, responsable de la division Information Security. La majorité de ces objets est au mieux faiblement protégés et les consommateurs n’ont pratiquement aucune moyen de détecter, a fortiori de réparer, les infections quand elles interviennent. Les entreprises vont donc être confrontées de plus en plus à de telles attaques distribuées alors que de plus en plus d’appliances vont être connectés et les pirates vont trouver de nouveaux moyens de les attaquer ».
C’est donc là une situation préoccupante lorsqu’on pense comme IDC que 200 milliards d’objets seront connectés à Internet à horizon 2020 et que ces objets ne sont pas protégés par des infrastructures antivirus ou antispam ni supervisés par des équipes dédiées.« L’Internet des objets ouvre de grandes perspectives pour contrôler tous les équipements que l’on utilisent dans la vie quotidienne, explique Michael Osterman, analyste principal du cabinet Osterman Research. Mais ils sont aussi un immense champ d’attaques pour les cyberpirates ».
Bref une course aux gendarmes et aux voleurs que l’on connait depuis bien longtemps. Mais il ne faudrait pas laisser les coudées franches à ces derniers trop longtemps.
Egalement sur InformatiqueNews :
Lenovo en passe de racheter l’activité serveur x86 d’IBM ?
Bull se recentre et veut améliorer sa rentabilité