Menace sur les appareils connectés
Les inoffensifs et familiers appareils ménagers pourraient-ils être transformés en chevaux de Troie informatiques pour servir de vecteurs de piratage des données de leurs propriétaires et les rançonner ? Plusieurs sources lancent l’alerte.
Et l’une d’entre elles n’est rien d’autre que l’entreprise de sécurité informatique Avast, bien connue pour ses freeware anti-virus utilisés chaque mois par 444 millions d’utilisateurs prévenant environ 3,5 milliards d’attaques par des logiciels malveillants et quelque 500 millions de visites sur des sites nuisibles. Début mai, le PDG, Vincent Steckler, a mis en garde contre de possibles attaques contre les appareils électroménagers connectés à Internet, qualifiant les pirates ciblant les routeurs à domicile de « menace majeure pour les consommateurs. » Le directeur technique, Ondrej Vlcek, n’y est pas allé avec le dos de la souris en qualifiant de « cauchemar total en matière de sécurité le fait que de plus en plus de consommateurs utilisent des appareils connectés à Internet », propos repris par l’AFP dans un communiqué, précisant que des téléviseurs, systèmes audio, machines à café et autres jouets figurent parmi les appareils vulnérables. En guise de démonstration des dangers encourus, Avast a piraté le logiciel interne d’un routeur aux Etats-Unis, afin de prendre le contrôle d’un téléviseur et de lui faire répéter à plusieurs reprises un discours de l’ancien président américain, Barack Obama. « Même si vous éteignez votre téléviseur, le routeur le rallumera et l’utilisateur ne pourra voir autre chose que le discours d’Obama », a observé M. Steckler, ajoutant qu’un pirate aurait pu exiger une rançon.
Le problème est pris au sérieux, même si ce sont les affaires, toujours à des fins de rançon, de blocage informatique de quelques grandes entreprises (dont Renault en France) ou d’hôpitaux en Angleterre, qui ont défrayé la chronique à la mi-mai. C’est que les objets connectés sont autrement plus nombreux et disséminés dans le monde entier : on trouve aujourd’hui au moins 8 milliards d’appareils (webcams, montres, électroménager, domotique…) contre seulement 2 milliards d’ordinateurs. Et les estimations annoncent pour 2020, selon les sources, entre 20 et 50 milliards de ces objets reliés à Internet, précise le magazine Science & Vie dans son numéro de mai. Notre confrère Vincent Nouyriguat a ainsi rédigé un article aussi intéressant qu’inquiétant sur le sujet, dont voici quelques extraits :
« Voilà la nouvelle force de frappe des hackers : votre montre ou bracelet connecté, la tablette du petit dernier, le nounours interactif, la webcam, le babyphone, la box TV-internet-téléphone, la console de jeu, la pompe à insuline, le pacemaker, l’imprimante de bureau mais aussi les nouveaux frigos, grille-pains, thermostats, ampoules, détecteurs de fumée, alarmes, cafetières ou même vibromasseurs désormais reliés au réseau. Autant d’objets du quotidien à l’apparence inoffensive, mais incroyablement faciles à transformer en cyber-armes – beaucoup plus que nos ordinateurs actuels et même nos smartphones.
« Dans le monde de l’Internet des objets, il n’y a pas de sécurité, il n’y a pas d’antivirus, il n’y a même pas la pratique pourtant courante ailleurs de changer les mots de passe par défaut », soupire Jens Müller, chercheur en informatique à l’université de Ruhr-Bochum. Il aura donc suffit à Mirai (code informatique malveillant de déni de service, ndlr) d’intégrer à son code une batterie de login et de mots de passe intégrés d’office par des constructeurs peu imaginatifs (« admin », « 123456 », « password »...) pour mettre en marche une armée pléthorique d’objets. Ouverts à tous les vents, accessibles par des mots de passe presque jamais modifiés par les utilisateurs, ces appareils ne sont de surcroît jamais mis à jour après la découverte d’une vulnérabilité – faute de la moindre équipe ou infrastructure dédiée à cette tâche.
En clair : l’Internet des objets ne tient aucun compte des leçons tirées ces trente dernières années en cyber-sécurité. Les constructeurs préfèrent définitivement arriver les premiers sur les étals des grandes enseignes avec le produit le moins cher, le plus pratique, doté d’une autonomie suffisante… alors que la sécurité coûte cher, embête tout le monde et consomme de l’énergie. En attendant, peut-être, des normes plus strictes.
Mais le mal est fait : plus de 8 milliards d’objets connectés seraient déjà reliés à Internet. « Il y a une tendance déplorable à tout connecter au réseau public, y compris des usines pour des raisons de surveillance ou de maintenance à distance… Les développeurs font preuve parfois d’une telle irresponsabilité ! » fulmine Stéphane Bortzmeyer, ingénieur à l’association française pour le nommage Internet en coopération (Afnic). De véritables moteurs de recherche permettent de scanner le réseau en quelques heures en quête d’appareils vulnérables. « Pris individuellement, la capacité de nuisance de ces objets peut paraitre dérisoire, or même une prise électrique connectée héberge un véritable ordinateur capable de générer des paquets de données vers une cible ; il suffit juste d’un minimum de débit. La démocratisation de la fibre optique et l’arrivée de la 5G promettent le pire » signale Frédérick Beck, responsable du laboratoire de haute sécurité informatique, à l’université de Nancy. »
Galerie photos
.jpg)
Partager cet article
