Logo Spiria

Objets connectés, une inquiétante menace pour Internet

30 septembre 2016.

Nous avions déjà des inquiétudes en constatant l’effrayante légèreté de certains concepteurs d’objets connectés en matière de sécurité, et en observant cette déferlante de nouveaux gadgets conçus avec les meilleures intentions du monde par des gens pas nécessairement compétents en vulnérabilité logicielle. De récents événements prouvent qu’il y avait vraiment de quoi être alarmé.

Jusqu’alors, au registre des piratages d’objet connectés, c’était souvent l’intimité des utilisateurs qui se retrouvait exposée au grand jour. Nous nous souviendrons avec effroi de ces caméras connectées qui utilisaient sans aucune sécurisation (aucun mot de passe !) le protocole Real Time Streaming (port 554) pour partager leur flux vidéo. Grâce au robot du moteur de recherche Shodan qui explorait Internet à la recherche de ports 554 ouverts, le monde a pu se rendre compte de l’étendue des dégâts. S’il y avait un flux vidéo et pas de mot de passe, un script capturait une image. C’est ainsi que nous avons pu, un peu gênés, observer des photos prises aux quatre coins du monde, dans des chambres d’enfants, des maisons, des garages, des jardins, des garderies, des salles de classe, des bureaux, des magasins, et même dans des plantations de cannabis. Nous pouvons estimer qu’il y a aujourd’hui encore des millions de ces webcams pernicieuses connectées à Internet et autant d’utilisateurs ignorants de la menace qui pèse sur leur intimité, et parfois leur sécurité.

Depuis peu de temps, une nouvelle menace encore plus inquiétante a vu le jour. Certains avaient anticipé ce genre d’attaques, mais on n’avait eu jusqu’alors aucun cas concret pour en prouver la faisabilité. Ces deux dernières semaines, deux affaires différentes, mais simultanées, montrent que les objets connectés sont à présent enrôlés dans des botnets, les plus agressifs qu’Internet n’ait jamais eu à connaître.

L’hébergeur OVH attaqué par des webcams

IoT CCTV Botnet vs OVH.

OVH, l’un des plus importants hébergeurs au monde, a été victime d’une attaque par déni de service (DDoS) de très grande ampleur. Il y a une semaine, un botnet constitué de 145 607 caméras s’est attaqué au réseau d’OVH. Chaque caméra peut produire un flux de données de 1 à 30 mégabits par seconde, et la totalité de ce botnet peut générer facilement une attaque DDoS représentant plus de 1,5 térabit par seconde (1012 bit/s). Le 20 septembre, l’hébergeur a connu une attaque à 990 gigabits par seconde. C’est un record mondial. Une semaine plus tard, lundi dernier, OVH a observé que 6 857 nouvelles caméras s’étaient ajoutées à ce botnet. Heureusement, l’infrastructure de ce géant de l’hébergement a bien tenu le choc.

Pour mémoire, la célèbre attaque DDoS menée en 2000 par le montréalais Michael Calce, alias Mafiaboy, qui avait mis les serveurs de Yahoo à genoux, représentait un débit inférieur à 1 gigabit par seconde. L’attaque de 2013 contre Spamhaus, à l’époque qualifiée d’historique, était de 300 gigabits par seconde.

KrebsOnSecurity réduit au silence par l’IoT

Brian Krebs.

Brian Krebs est un journaliste et expert en cybercriminalité reconnu. Son blogue KrebsOnSecurity est lu par toutes les personnes qui s’intéressent à la sécurité informatique. À partir du 20 septembre et les jours qui suivirent, le blogue a connu une attaque DDoS avec des pointes à 620 gigabits par seconde. Cette agression numérique était probablement une vengeance après la publication par Brian Krebs de plusieurs articles au sujet de vDOS, un service d’attaques par déni de service créé par deux jeunes israéliens. Malgré l’ampleur de l’attaque, le blogue est resté accessible grâce à la générosité de l’entreprise Akamai Technologies qui depuis des années offrait gratuitement à Krebs son service de protection contre les attaques DDoS.

Cependant, après plusieurs heures, l’attaque ne montrant aucun signe d’affaiblissement, Akamai a envoyé à Krebs un avis l’informant que la société allait interrompre son service de protection dans deux heures, car protéger KrebsOnSecurity.com représentait maintenant pour elle un coût bien trop considérable. Brian Krebs a alors débranché son serveur, plutôt que voir la charge alors absorbée par le réseau d’Akamai se rediriger sur son hébergeur, demandant une redirection sur 127.0.0.1. Le déni de service prenait la forme d’un outil de censure particulièrement efficace, KrebsOnSecurity ayant disparu du Web.

Comme dans le cas d’OVH, on a rapidement fait le lien avec l’IoT (Internet of Things). Les agents de l’attaque étaient en partie des objets connectés. Au mois d’août, Sucuri avait détecté une attaque conjointe de 47 071 adresses IP dont les agents étaient des caméras connectées (IoT CCTV Botnet), des routeurs domestiques (IoT Home Routers Botnet, en l’occurrence principalement des routeurs Huawei, mais pas que…) et des serveurs Web compromis (possiblement un WordPress Botnet). L’attaque contre KrebsOnSecurity était exactement du même genre : des webcams, des routeurs et des enregistreurs numériques vidéo (DVRs). 2016 aura vu ainsi la naissance des attaques mixtes d’une ampleur inégalée, lancées de botnets multiplateformes reposant tout ou partie sur l’Internet des objets, contrôlés par un unique opérateur.

Symantec a déjà recensé une douzaine de famille de logiciels malveillants (malware) qui s’attaquent aux systèmes Linux de l’IoT, et qui sont souvent compilés (Cross Compilation) pour de nombreuses architectures différentes : x86, ARM, MIPS, MIPSEL, PowerPC, SuperH, SPARC, etc. La même entreprise note que ça ne requiert souvent vraiment pas grand-chose pour exploiter des objets connectés, tellement ils sont mal conçus. Ce qui ouvre la porte à de gigantesques attaques avec des approches peu sophistiquées, à la portée de pirates de bas étage et demain du “script kiddie”, brisant les reins des serveurs les plus puissants et portant atteinte à la liberté d’expression. La démocratisation de la censure est en marche.

Finalement, KrebsOnSecurity est revenu en ligne le 25 septembre grâce au soutien de l’une des rares entreprises capables de résister, autant techniquement que financièrement, à des attaques aussi lourdes : Google (Project Shield). Mais tout le monde n’est pas Brian Krebs et ne bénéficiera pas de la protection gratuite d’une grande entreprise en cas de menace… Combien d’auteurs, de journalistes, peuvent payer jusqu’à 200 000 dollars par an à Akamai ou autre pour protéger leur blogue ?

IoJ, Internet of Junk

Internet of Broken Things.

Force est de constater que l’IoT ressemble trop souvent dans la réalité à l’IoJ (Internet of Junk), une gigantesque armée d’objets troués de failles de sécurité, qui ne sont souvent ni monitorés ni mis à jour, et qui n’attendent qu’à se faire complaisamment enrôler dans un réseau criminel. Il est inévitable que plus il y aura d’objets connectés, plus l’ampleur des attaques sera impressionnante, au point de menacer Internet dans son ensemble.

Très prochainement, à votre insu, votre réfrigérateur fabriquera de la cryptomonnaie, votre grille-pain enverra des spams, votre aspirateur distribuera des virus et votre téléviseur mènera des attaques par déni de service. Vous trouverez que Netflix et YouTube sont un peu lents et vous blâmerez votre fournisseur de service Internet.

L’année dernière, l’industrie a répondu à cette problématique en créant l’IoT Security Foundation, dédiée au partage des savoirs et des bonnes pratiques. C’est un premier pas. Mais cela est-il suffisant ? Rien ne peut aujourd’hui empêcher un fabricant de proposer des objets non sécurisés ou comportant d’importantes failles — les faits nous le prouvent tous les jours —, et la protection des consommateurs est embryonnaire ou quasi inexistante dans la plupart des pays. Brian Krebs conclut : “Je ne sais pas ce qu’il faudrait faire pour réveiller la communauté d’Internet de sa léthargie pour qu’elle apporte une réponse à cette menace croissante pour la liberté d’expression et le commerce électronique. Je pense qu’il faudra une attaque qui met en péril des vies humaines, met en panne des systèmes d’infrastructure vitaux, ou perturbe des élections nationales.”