iot-security, ido

L’IdO raffole de l’Internet

Des appareils IdO piratés ont réussi à paralyser des pans entiers d’Internet, quelques semaines seulement après qu’un tel scénario a été annoncé par le site d’actualité KrebsonSecurity.

Piratage de Dyn

Alors que l’attaque par déni de service distribué (DDoS) sans précédent menée contre Dyn (fournisseur de services essentiels à Reddit, Spotify, SoundCloud et Twitter) a réussi à écarter ces entreprises d’Internet pendant un moment, la problématique majeure pose la question de la sécurisation des millions d’appareils IoD qui submergent le marché afin de mettre un terme à ce type d’attaques.

L’attaque contre Dyn s’est largement étayée sur des botnets qui ont piraté des appareils IdO insécurisés, et les ont redirigés contre la cible désignée.  Contrairement à une attaque par déni de service distribué conventionnelle, qui fait appel à des sources d’envergure pour cibler un site précis, ces attaques ont réuni des millions d’appareils détournés et piratés pour provoquer la mort virtuelle de services en ligne en causant des milliers de petites égratignures.

Points majeurs à mémoriser

  1. Nous sommes submergés par les appareils connectés, et ceci n’est qu’un début. On estime leur nombre à 20 milliards aux environs de 2020.
  2. Nombre d’appareils IdO permettent difficilement, voire pas du tout, de modifier les paramètres administrateur.
  3. Quelques fabricants d’appareils connectés – dont XiongMai et Dahua – ont été repérés comme ayant fourni une large part des objets piratés.
  4. Le code source de Mirai, le botnet impliqué dans l’attaque contre Krebs et Dyn, a été divulgué au public de façon à simplifier la tâche de pseudo-hackers voulant entrer dans le jeu.

La grande question consiste à identifier les prochaines étapes pour rendre ces appareils, et Internet par la même occasion, plus sûrs. Qui peut s’en charger ? Cette tâche relève-t-elle du secteur privé, du gouvernement ou d’un organisme externe certifié ? Les options immédiates sont actuellement limitées, mais seulement sur le plan théorique.

Solutions possibles

Mettre sur la sellette : des listes comme celles publiées sur Krebsonsecurity peuvent donner un coup de projecteur sur ce problème et pousser les entreprises à prendre des mesures pour ne pas nuire davantage à leur réputation. Avant l’attaque Mirai, le grand public était très peu conscient des problèmes de sécurité affectant l’Internet des Objets.

Action en justice : des organismes tels que Dyn ou Krebsonsecurity ont engagé un recours collectif contre les fabricants d’appareils insécurisés pour les pertes encourues par leur entreprise durant ces attaques DDoS. S’il est possible de poursuivre un constructeur automobile en raison de serrures de contact ou d’airbags défectueux, qu’en est-il d’une entreprise qui produit de véritables poudrières capables d’exploser à la tête de n’importe-qui sur Internet ?

Action gouvernementale : des informations font part des travaux engagés par la Commission européenne pour améliorer la sécurité des appareils IdO. Ceci pourrait déboucher sur un label de sécurité à l’image des labels d’efficacité énergétique que l’on retrouve sur les réfrigérateurs.

Organisme indépendant : une piste pourrait s’appuyer sur l’implication de tests indépendants ou d’un organisme de certification pour dresser un classement de sécurité concernant les objets connectés. Ceci pourrait prendre modèle sur le label « Testé et approuvé » (ou  Good Housekeeping destiné aux ménagères américaines) ou les crash-tests réalisés par la fédération d’automobilistes allemande ADAC.

Pensez-y : il suffit d’un classement de moins de quatre étoiles au crash-test de l’ADAC pour nuire gravement aux ventes de lancement d’un modèle de voiture et même en réduire la valeur de revente.

En considération du facteur temps et de la faisabilité politique, je mettrais l’action gouvernementale tout en bas de la liste. De plus, une action en justice ne peut fonctionner qu’aux États-Unis. La tactique de mise sur la sellette visant à pointer du doigt les entreprises commercialisant des produits vulnérables en matière de sécurité demeure à ce jour la meilleure option. Avant d’acquérir un nouvel appareil, prenez soin de consulter la liste dressée par Krebs.

Mise à jour

Selon un article Yahoo, une première entreprise a pris son courage à deux mains et reconnu sa responsabilité sociale dans l’attaque ayant visé Dyn : elle a rappelé des millions de produits vendus aux États-Unis avant 2015. Le fabricant de caméras connectées et d’enregistreurs numériques Hangzhou Xiongmai Technology a confié à Yahoo avoir appliqué des correctifs aux produits vendus après cette date et que ceux-ci ne constituent plus un danger.

Cet article est également disponible en: AnglaisAllemandItalien

As a PR Consultant and journalist, Frink has covered IT security issues for a number of security software firms, as well as provided reviews and insight on the beer and automotive industries (but usually not at the same time). Otherwise, he’s known for making a great bowl of popcorn and extraordinary messes in a kitchen.