L’armée de zombies IoT toute proche désormais. Qu’allons-nous faire?

Ce week-end, nous avons été confrontés à l’inaccessibilité de plusieurs grands sites web. La faute en incomba en grande partie à des appareils Internet of Things mal sécurisés. Les fabricants IoT en ont eu des sueurs froides, et tout le monde a pu se rendre compte de ce qui pouvait arriver, si ce qu’on appelle en jargon la security by design (sécurité dès le stade de la conception) n’est pas rendue obligatoire. Comment aller de l’avant dans ces conditions?’, se demande Nathalie Van Raemdonck.

D’abord les faits: le 21 octobre, une attaque Distributed Denial of Service (DDoS) sur le fournisseur DNS Dyn a provoqué des problèmes sur internet. Dyn est un peu le pendant des Pages d’Or sur le net. C’est par son intermédiaire que vous aboutissez en fin de compte sur le site web voulu, une fois que vous en avez saisi l’URL. Il est donc simple, mais pourtant efficient de lancer une attaque DDoS sur ce genre de fournisseur, puisqu’une quantité substantielle de sites web américains ont été rendus inaccessibles pendant un temps limité. Pas de Netflix & chill, pas de Reddit et pas de Twitter non plus. Bref: l’on pouvait faire une petite virée, puisqu’on était en grande partie dans l’impossibilité de surfer.

Les attaques DDoS sont aussi anciennes qu’internet: elles consistent à submerger un serveur de requêtes en utilisant généralement un tas d’ordinateurs infectés, jusqu’à ce que ledit serveur ne puisse plus recevoir de visiteurs ‘normaux’. Beaucoup d’organisations ont pris des mesures pour contrer ce genre d’attaques. Il n’empêche que l’incident de vendredi a étonné en raison de son ampleur. Dyn a ainsi indiqué que plus de 10 millions d’adresses IP étaient impliquées, ce qui en a fait la plus importante attaque DDoS à ce jour. Cela est rendu possible du fait qu’on utilise de par le monde des tas d’appareils vulnérables de manière incontrôlée et cela a un nom: Internet of Things (internet des choses).

Internet of Shit

Dans le monde de la sécurité, l’on voue depuis assez longtemps aux gémonies cet Internet of Things (IoT), souvent qualifié d’#InternetofShit. Ce phénomène couvre tous les nouveaux appareils et gadgets qui peuvent être connectés à internet. Cela va du téléviseur, à la caméra de surveillance en passant par le frigo, la voiture, mais aussi d’appareils ne nécessitant pas vraiment le wifi, comme le grille-pain ou la serrure de la porte d’entrée. L’on estime qu’en 2016, quelque 6 milliards d’appareils sont connectés à internet. Un nombre hallucinant donc.

Qui dit davantage d’appareils connectés à internet, dit présence de plus en plus de portes d’entrée dérobées et dit aussi plus de puissance informatique susceptible d’être exploitée pour des attaques. Les auteurs du virus Mirai, qui infecte sciemment les appareils IoT, le savaient parfaitement. Des millions d’appareils IoT contaminés ont ainsi été ajoutés à une monstrueuse armée de zombies qui sont à présent utilisés, à l’insu de leurs propriétaires, dans des attaques DDoS.

Lorsque le journaliste Brian Krebs spécialisé dans la sécurité a observé, il y a quelques semaines, une première attaque de cette ampleur sur son site, tout le monde a su qu’il n’était plus… midi moins cinq.

Le refuge des zombies

Une étape logique en vue de contrer ces attaques, c’est de nettoyer tous ces appareils. Beaucoup d’utilisateurs savent qu’ils doivent installer un antivirus sur leur ordinateur, mais ils ne sont pas conscients que leur téléviseur ou leur caméra de surveillance peut également être infecté et ainsi participer à des attaques. Les utilisateurs semblent peu motivés à faire quelque chose là-contre, étant donné que l’impact sur le fonctionnement de leur appareil est quasiment inexistant, lorsqu’il est utilisé dans un botnet.

Sur ce point, il faudrait que chaque pays prenne ses responsabilités en informant les utilisateurs de leur présence dans des journaux IP. Ces pays pourraient conscientiser, informer et créer des incitants en vue de sécuriser les appareils IoT. Les zombies pourraient être ainsi désactivés, et les botnets perdraient de leur puissance.

Un IoT méritant notre confiance

Mais un utilisateur ne peut pas faire grand-chose s’il n’est pas lui-même en état de protéger son appareil. C’est ainsi par exemple qu’on s’est aperçu que Xiongmai, un fabricant chinois a vu ses appareils utilisés en grande partie dans l’attaque de vendredi dernier car il n’avait même pas modifié les mots de passe par défaut sur ceux-ci. C’était du reste le cas pour tous les produits vendus avant 2015. Ce type de faille se manifeste malheureusement souvent dans beaucoup d’appareils. Si l’on ne peut modifier le mot de passe, l’on peut être certain que quelqu’un d’autre pourra tôt ou tard y accéder.

Les fabricants ont actuellement le libre choix du degré de sécurité qu’ils sont prêts à incorporer par défaut à leurs appareils. Comme un grille-pain ultra-sécurisé ne constitue pas vraiment un argument de vente, cette étape est souvent explicitement omise, afin de réduire les coûts. Il est par conséquent essentiel de mettre les producteurs IoT devant leurs responsabilités, en vue de prévoir des normes de sécurités minimales, et de les rappeler à l’ordre, s’ils les négligent.

Des organisations telles The Internet of Things Security Foundation et les bénévoles du collectif de sécurité I am The Cavalry prennent déjà eux-mêmes les rênes en main en élaborant des cadres sécuritaires. Le collectif a même invité les fabricants d’appareils médicaux à prêter le serment d’Hippocrate afin de ne pas vendre d’équipement dépourvu de sécurité. Et il y a apparemment aussi une proposition sur la table de l’UE en vue de forcer les entreprises à satisfaire à certaines normes sécuritaires et à trouver elles-mêmes un système de labellisation pour les appareils IoT sûrs.

Il est nécessaire de protéger la production européenne, bien que cela n’ait guère d’effet dans un monde globalisé. Si l’on interdit aux fabricants d’utiliser des composants chinois bon marché, qui ne répondent pas à ces normes, ils risquent de perdre leur compétitivité. Rares sont les gens qui acceptent de payer plus pour un appareil IoT sûr. Il faudrait surtout ici édicter des règles internationales, même si l’on ferait bien de commencer déjà par un label européen.

Déjà trop tard

Il est malaisément possible d’encore protéger après coup des appareils IoT ne répondant pas d’origine aux normes de sécurité. Voilà pourquoi la sécurité doit être prévue dès la phase de conception. Les efforts accomplis pour convaincre les fabricants sont dignes d’éloges et nécessaires, mais en fait, il est déjà trop tard. Nombre d’appareils sont déjà vendus sans que l’on puisse encore prévoir pour eux un patch automatique. Les utilisateurs doivent alors souvent exécuter manuellement une mise à jour de leur firmware, ou échanger leur appareil. Or les appareils vendus sans sécurité intégrée sont souvent des appareils ménagers qu’un utilisateur moyen ne remplace que tous les 10 ans. Il est donc possible que l’on doive encore vivre longtemps avec les effets de l’armée des zombies IoT.

Il ne faut certes pas dramatiser l’incident du week-end dernier – une attaque DDoS reste principalement gênante, sans mettre pour autant notre vie en danger -, mais cela nous donne un avant-goût de ce que sont prêts à faire des criminels, si nous ne prenons pas la sécurité au sérieux.