Des hackers utilisent « l'Internet des objets » pour mener des attaques d'une nouvelle envergure

Des hackers profitent de la vulnérabilité en matière de sécurité des objets connectés — ce qu'on appelle « l'Internet des objets » — pour construire des armées d'appareils zombies capables de frapper n'importe quelle cible numérique, menaçant ainsi la liberté d'expression et l'économie du web.

La semaine dernière, le site de Brian Krebs, un journaliste indépendant qui enquête sur le monde mystérieux du cybercrime et du dark net, a été la cible d'une des plus grandes attaques de l'histoire d'Internet. L'attaque a été menée par un « botnet » (un réseau de machines connectées) composé de caméras de vidéosurveillance. Pour plusieurs experts, cette attaque est un signe avant-coureur de ce que l'on pourrait connaître dans un futur proche.

« Je ne sais pas ce qu'il va falloir faire pour alerter l'opinion publique quant à cette menace contre la liberté d'expression et l'e-commerce, » indique Krebs. « Je pense qu'on va devoir malheureusement attendre qu'une attaque ait un impact sur des vies humaines, fasse tomber des infrastructures essentielles ou perturbe des élections nationales. »

Krebs est en quelque sorte victime de son propre succès. L'ancien journaliste du Washington Post est devenu l'un des ennemis des cybercriminels les plus puissants du monde grâce à ses enquêtes publiées sur son blog, Krebs on Security.

Ces gens ne sont pas connus pour se laisser faire et Krebs en a fait l'amère expérience. Il a été victime de swatting (soit envoyer les forces spéciales chez quelqu'un en faisant croire qu'il se passe quelque chose de grave), on lui a envoyé de l'héroïne chez lui, et cette semaine il a été la cible d'une attaque DDoS (attaque par déni de service) qui a mis son blog hors-ligne pendant plusieurs jours. L'entreprise qui protégeait son site a aussi été contrainte de se retirer parce que ça allait leur coûter des millions de dollars.

Le site de Krebs a déjà été la cible d'attaques DDoS, mais celle-ci était différente. Il s'agit d'un avertissement pour les journalistes d'investigation et toute la communauté du web.

Les attaques DDoS fonctionnent de la manière suivante. Le serveur qui héberge le site visé est inondé de connexions ce qui le rend inaccessible. Les attaques en dessous de 10 gigabits par seconde (Gbps) peuvent facilement faire tomber des sites non-protégés. L'attaque qui a visé le blog de Krebs était de 620 Gbps.

Une attaque de cette envergure n'est pas sans précédent, mais fait partie des plus importantes jamais enregistrée. Des attaques de cette taille sont généralement commises par des États, mais pas celle-ci.

Généralement en cas d'attaques DDoS, les appareils utilisés pour inonder le site de trafic sont des ordinateurs qui ont été compromis grâce à un virus afin de former un botnet, une armée d'ordinateurs zombie qui peuvent être contrôlés à distance par un hacker.

Mais cette fois, le botnet était composé d'appareils connectés à Internet, comme des caméras de surveillance, qui peuvent être intégrées à une attaque botnet.

On estime qu'en 2020 il y aura entre 20 et 75 milliards d'objets connectés dans le monde — ce qui est loin d'être négligeable.

Tout ce qui va des contrôles de systèmes industriels aux robots d'usines en passant par les télévisions, frigos, fours et thermostats connectés pourront être la cible d'une attaque. Si les caméras connectées n'ont pas les mêmes processeurs que les PC, ils ont tous les attributs d'un parfait soldat zombie dans le cadre d'une attaque botnet.

« La plupart de ces caméras tournent sur un système d'exploitation complet et ont une bonne connexion à Internet, » explique à VICE News, Matthew Prince, le président de Cloudfare, une entreprise qui protège les sites d'attaques DDoS. « De fait, si elles sont mal sécurisées, elles peuvent devenir une source efficace de trafic DDoS pour un assaillant. »

La sécurité est un vrai problème pour ces appareils. La majorité est livrée avec des noms d'utilisateurs et des mots de passe par défaut mis au point à l'usine et jamais modifiés avant d'être connectés à Internet — ce qui les rend particulièrement faciles à attaquer. Ce manque de sécurité permet alors de créer une armée de botnet issu de l'Internet des objets pour « virtuellement aucune dépense » d'après Krebs. « Il s'agit de ressources compromises, donc ça coûte uniquement à l'assaillant un peu temps. Et c'est tout, » explique Krebs à VICE News.

Le problème c'est que bloquer ce type d'attaque coûte en revanche énormément d'argent. Akamai, l'entreprise qui protégeait le blog de Krebs depuis quatre ans en pro bono, estime que cela aurait coûté des millions de dollars de continuer à repousser l'attaque de la semaine dernière. L'entreprise a alors « débranché » le blog de Krebs, ce que le journaliste comprend parfaitement. « Je n'en veux pas à Akamai d'avoir pris cette décision, » écrit Krebs sur son blog. « Une fois qu'ils ont vu que l'attaque commençait à poser des problèmes à leurs clients, qui payent eux leurs services, ils m'ont expliqué que le choix de laisser mon site mourir était purement une décision business. »

Le Project Shield de Google, un service de protection de DDoS produit par sa filiale Jigsaw, est alors intervenu pour protéger le site de Krebs et le remettre en ligne. Les attaques continuent d'arriver, a indiqué Krebs cette semaine, mais pour le moment son blog est encore en ligne et Project Shield surveille son trafic pour identifier les machines compromises et en informer leurs propriétaires.

Mais Krebs n'est pas la seule cible de ce botnet : Matthew Prince a confirmé qu'un botnet constitué presque uniquement de caméras de vidéosurveillance attaquait des clients de Cloudfare depuis quelques semaines.

Si l'attaque contre Krebs a suscité beaucoup d'attention, la menace posée par les attaques DDoS n'est pas nouvelle.

Ces jours-ci, si vous voulez attaquer quelqu'un en ligne, des centaines de groupes offrent la possibilité d'accéder à leurs botnets pour la modique somme de 5 dollars. Il est donc relativement facile de mettre hors service le site de votre concurrent pendant ses heures de rush, ou de bloquer l'accès à des informations vitales ou encore, comme dans le cas de Krebs, d'entraver la liberté d'expression.

Mais les conséquences d'une attaque DDoS peuvent toucher à peu près tout le monde, pas seulement la cible visée.

« L'utilisation d'attaques DDoS contre des Internautes lambda, des journalistes ou d'autres acteurs de la sphère publique est particulièrement inquiétante, » indique à VICE News Roland Dobbins, ingénieur en chef chez Arbor Networks.

Krebs estime que ces attaques sont loin d'être surprenantes — « on s'y attend depuis des années » — mais pourtant rien n'a été fait pour les empêcher.

En décembre 2014, le groupe de hackers de la Lizard Squad a mis hors-service le réseau Xbox Live le jour de Noël. Si cette nouvelle a fait les gros titres à l'époque, personne n'a retenu que cela avait fait grâce à un botnet composé de routers. Cela aurait dû permettre de prévenir des attaques comme celle contre le site de Krebs. « On a eu plein d'avertissements, » explique Krebs.

En effet, la menace posée par le manque de sécurité des appareils appartenant à l'Internet des objets a été soulevée en février 2014 dans un papier de la National Science Foundation : « Il faut créer des rustines de sécurité dans ce monde où presque tout est connecté à Internet et où beaucoup d'objets sont sans surveillance. »

Si certains projets sont en cours afin de mettre au point des systèmes collaboratifs, les grandes entreprises comme Microsoft, Apple et Google développent chacun leurs méthodes, ce qui complique la standardisation.

« Je ne pense pas que [les fabricants de matériel numérique] sont redevables de quiconque, » explique Krebs. « Ils ne pensent pas que c'est leur boulot [de s'inquiéter de la sécurité], ils pensent que leur mission est de rendre facile d'utilisation leurs produits. »

Alors que l'on se dirige vers un monde où tout — des voitures aux brosses à dents en passant par les bureaux — est connecté, l'attaque de la semaine dernière inquiète les experts.

« Je pense que le programme malveillant utilisé pour construire ce type d'attaque va avoir des dérivés qui vont vous permettre de construire d'autres botnets, » explique à VCIE News Andy Ellis, le chef de la sécurité chez Akamai. « Dans les 18 prochains mois, nous allons probablement voir apparaître des botnets de grande envergure très compétitifs qui s'appuieront principalement sur l'Internet des objets. »

Suivez VICE News sur Twitter : @vicenewsFR

Likez la page de VICE News sur Facebook : VICE News FR