Petite explication destinée à tous ceux qui aimeraient comprendre ce que sont les Objets connectés, ce que signifient les termes IoT et BotNet, et pourquoi nous sommes peut-être à la veille d’une cyber-tempête sans précédent
LE CONCEPT
Depuis plusieurs années, notamment avec l’engouement pour les smartphones et les réseaux sociaux, de nombreuses entreprises se sont lancées dans la création d’objets connectés. Ces objets connectés peuvent être de toute nature : smartphones bien entendu, mais aussi vélos, scooters, voitures, cafetières, frigos, balances de cuisine, tout comme de nombreux équipements high-tech que sont les box ADSL, les Smart TVs, radios, caméras, montres, casques audio, enceintes, et même jusqu’aux jouets des enfants comme les peluches, barbies, jeux électroniques ou consoles
Ces objets sont connectés essentiellement parce qu’ils sont pilotés via une application sur smartphone, permettant (et c’est le summum) de voir et d’afficher des résultats et statistiques que tout un chacun s’empresse de partager sur les réseaux sociaux : c’est par exemple le cas de Bernard qui partage, depuis sa montre connectée, la distance parcourue lors de son dernier jogging, ou bien Lucie qui publie les ingrédients sa dernière recette, pesés par sa balance connectée qui calcule automatiquement les calories consommées. Cela peut être aussi Alban et Mélanie qui surveillent depuis leur smartphone le sommeil de leur bambin dans la pièce d’à côté, grâce à la dernière caméra IP commandée sur Amazon, etc, etc… Tous ces objets connectés (sous entendu « connectés à Internet« ) composent un immense maillage appelé Internet des Objets, ou plus simplement IoT, abréviation issue du terme anglais Internet Of Things
LA FAILLE
Tout cela ne poserait aucun problème si les fabricants de ces objets connectés n’étaient pas attirés par l’argent rapidement gagné plus que par la sécurité nécessaire à l’utilisation de ces objets. Car c’est là que le bas blesse : une grande majorité de ces objets connectés sont fabriqués à la hâte et leurs logiciels internes, tout comme les applications qui les pilotent via nos smartphones, sont souvent dénués de la moindre couche de sécurité. Par exemple, les mots de passe d’accès à l’interface d’administration sont basiques et simples à deviner (« 123456 » ou « azerty »), mais surtout ils ne sont jamais modifiés par l’utilisateur final.
Parfois encore, des failles de sécurité existent, permettant d’accéder au système interne des objets par une porte dérobée, mais rien n’est fait pour les corriger (comme par exemple le fait Microsoft avec les mises à jour régulières de Windows)
Partant de ce principe, il apparaît clairement qu’une énorme population d’objets connectés, comportant autant de trous de sécurité qu’il peut y en avoir dans une passoire, est en train de se répandre dans le monde entier, sans qu’aucun moyen n’existe pour freiner son développement anarchique. Aucun espoir qu’un vendeur asiatique de montres connectées présentant des failles de sécurité évidentes ne rappelle les 10.000 ou 20.000 exemplaires déjà mis en service dans le monde entier… Et peut-être ce vendeur ne sécurisera-t-il pas plus le code informatique des prochaines versions mises sur le marché : trop d’argent et de temps à perdre, trop de problèmes à gérer, trop peu de moyens humains, et de toutes façons… après lui le déluge !!
LES MÉCHANTS
C’est maintenant que les méchants pirates informatiques entrent en scène : ayant découvert au fil des années de nombreuses failles de sécurité dans des milliers de références d’objets connectés, il ne leur reste plus qu’à programmer un automate qui va scanner Internet à la recherche de ces objets, qui va les découvrir et qui va y accéder à l’aide d’un mot de passe simple ou bien via une porte dérobée et qui, pour finir, va y injecter un programme endormi qui n’attendra qu’un ordre pour s’exécuter… Tout cela se faisant sans que jamais Bernard, Lucie, Alban ou Mélanie se doutent de quoi que ce soit, puisque les objets connectés continuent d’exécuter bien tranquillement leur petites tâches habituelles, même une fois qu’ils ont été pénétrés et modifiés par les pirates
LA MACHINE INFERNALE
Le regroupement sur Internet de machines « zombies« , piratées les unes après les autres et restant dans l’attente d’un ordre à exécuter, est nommé par les experts en sécurité un BotNet, contraction de Ro-Bot et de Net (« Réseau » en anglais) ou encore Réseau de machines pouvant exécuter comme des robots des milliers de tâches répétitives sur commande
LE DERNIER ACTE
Le jour J, à l’heure H, les méchants pirates pressent la touche Enter de leur Serveur C&C (« Serveur de Commande & Contrôle ») et envoient à tout les BotNets constitués depuis des mois voire des années, donc envoient aux milliers ou millions d’objets connectés en attente, un ordre à exécuter répétitivement plusieurs milliers de fois par seconde. En admettant que 1.000 ou 10.000 caméras IP envoyent 1.000 fois par seconde une requête de connexion sur http://www.google.fr, les serveurs de Google recevant jusqu’à plusieurs millions de demandes de connexions par seconde ne peuvent plus répondre… Ils se bloquent et « tombent« . C’est ce qu’on appelle l’attaque DDoS (Déni de Service), quand un serveur est tellement sollicité par les demandes de connexions qu’il ne peut plus répondre. Si le BotNet fait de même avec Bing, Amazon, Facebook ou plus probablement avec les principaux serveurs DNS répartis dans le monde (serveurs qui convertissent les noms comme « google.fr » en adresses IP numériques compréhensibles par les équipements réseaux), alors c’est tout l’Internet qui se fige en quelques secondes, quelques minutes… puis qui « tombe » à son tour. Et que dire si les BotNets tentent d’attaquer et de faire tomber les systèmes informatiques des centrales électriques ou nucléaires, des industries et des entreprises, ou bien encore des administrations… Dans l’absolu tout est possible, tant il reste de failles à combler dans tous les systèmes trop vite développés et commercialisés
EPILOGUE
Combien de temps faudra-t-il pour que tout fonctionne de nouveau comme avant ? Des jours, des semaines, des mois ??? Impossible de répondre, mais dans l’attente, préparons-nous plutôt à ressortir le papier, le crayon, la gomme, les enveloppes et les timbres si nous voulons pouvoir continuer de communiquer…
Plus d’information :
- DataNews – Un nouveau botnet IoT infecte un million de réseaux
- Génération Nt – Reaper ou IoTroop : un botnet d’objets connectés inquiète
- Le Mag IT – Botnet Reaper : le digne héritier de Mirai ?