News
Benoît Grunemwald, ESET France : "Des bonbons ou une menace !!" ou Comment les objets connectés devenus zombies ont surpris Internet
octobre 2016 par Benoît GRUNEMWALD, Directeur des Opérations ESET France
« Des bonbons ou un sooort ! » crient les enfants aux abords des portes de leurs
voisins : « si vous ne me donnez pas de sucreries, vous serez la cible de plusieurs
farces d’ici peu de temps ! »
Dans le même genre, des millions de routeurs, de caméras de sécurité et autres
objets connectés (IoT) ont frappé à la porte du serveur DNS Dyn une semaine avant
Halloween sans offrir d’autres choix que de recevoir un sort. Ils formèrent une
armée géante de zombies avec pour objectif d’interrompre Internet et certains de
ses services populaires.
ESET avait prédit avec précision que l’Internet des objets deviendrait un sujet
très important. La préoccupation majeure étant la fuite de données via ces
appareils et que ces derniers deviennent une cible à cause de leur (faible) niveau
de sécurité.
La semaine dernière les attaques massives par DDoS ont montré que les informations
privées n’étaient pas la principale cible des cybercriminels (du moins pas pour
le moment). Leur objectif était de contrôler des millions d’appareils connectés
et de diriger toute cette puissance vers la cible de leur choix.
Cette attaque prouve que des dizaines de millions d’appareils peuvent être
exploités à cause de leurs failles de sécurité, généralement liées à
l’utilisation des identifiants et mots de passe mis par défaut. Et même si Dyn a
pu atténuer la portée des attaques en quelques heures, nous voyons ici les
prémices d’une « guerre DDoS » qui s’étalera sur les prochains mois.
Pour comprendre l’ampleur que pourrait prendre une telle attaque, il suffit de
regarder les chiffres : selon les estimations Gartner il y avait près de 5
milliards d’appareils IoT sur le marché (y compris l’industrie automobile) sur
la fin de l’année 2015. Si les mêmes estimations sont correctes, en 2020, ce
chiffre passera à plus de 25 milliards.
Sans un changement vers plus de sécurité dans le domaine de l’IoT à tous les
niveaux (constructeurs qui doivent penser aux logiciels et matériels de sécurité
à inclure dans leurs modèles, organismes de règlementation qui doivent imposer
des mesures visant à améliorer les normes déjà en place) ce problème pourrait
avoir de graves conséquences.
Et n’oublions pas les utilisateurs finaux, qui peuvent contribuer à améliorer la
sécurité de ces objets connectés :
La première étape serait d’acheter des objets connectés de qualité conformes
aux normes de sécurité actuelles.
Vous pouvez réaliser des tests sur vos appareils afin de détecter
d’éventuelles vulnérabilités (mots de passe mis par défaut) et y remédier.
Établissez la liste des objets connectés que vous possédez comme les box
Internet et suivez les conseils que nous vous avions donnés lors d’une
précédente attaque au Brésil.
