Tech & internet

Votre brosse à dent connectée pourrait bien se retourner contre vous

Josephine Wolff, traduit par Bérengère Viennot, mis à jour le 29.10.2016 à 16 h 53

Se faire pirater sa brosse à dents connectée n’est pas aussi anodin qu’on pourrait le croire.

Guernica | fdecomite via Flickr CC License by

Guernica | fdecomite via Flickr CC License by

Où étiez-vous lorsqu’une attaque massive par déni de service (DoS) a perturbé les connexions internet dans de larges zones de la côte Est des États-Unis, vendredi 21 octobre? Avec un peu de chance vous dormiez encore lorsqu’à 7 heures du matin aux États-Unis, un énorme volume de trafic en ligne a frappé Dyn, une entreprise installée dans le New Hampshire dont la fonction est de transformer les URL que vous tapez dans votre navigateur (comme Slate.com) en adresses IP (comme 107.20.207.227) qui vous dirigent vers les serveurs auxquels vous voulez accéder.

Mais, même si vous avez dormi pendant toute la première partie de l’attaque, vous y avez peut-être participé quand même, surtout si vous avez fait l’acquisition d’appareils intelligents pour la maison et que vous n’avez pas modifié leurs mots de passe par défaut. Selon un post publié par Dyn, des dizaines de millions d’adresses IP ont été impliquées dans cette attaque. Cela signifie que des dizaines de millions de machines piratées ont bombardé Dyn, dont une grande partie infectées par Mirai, un malware utilisant des logiciels qui devinent les mots de passe pour toucher des appareils connectés banals comme des caméras de surveillance et des magnétoscopes numériques. Ce sont ce genre de babioles qui forment ce que l’on appelle «l’internet des objets» et qui suscitent depuis un moment une certaine inquiétude chez ceux qui craignent les implications, en matière de sécurité, de mettre en réseau un nombre toujours plus grand d’appareils. Comme l’a titré le New York Times, il s’est agi là du signe avant-coureur d’une «nouvelle ère des attaques sur internet.»

Attaque massive

Mais il y avait pourtant dans cette histoire un drôle impression de déjà-vu. Après tout, ce n’est pas la première fois que l'on assiste à des attaques massives par déni de service. Ce n’est même pas la première fois qu’elles sont dirigées contre le Domain Name System (DNS). Il y a moins d’un an par exemple, en décembre 2015, le même genre d'attaque a inondé plusieurs serveurs racines du DNS. Cette plus petite attaque avait impacté moins d’utilisateurs que celle du 21 octobre et, à notre connaissance, elle n’impliquait pas du tout l’internet des objets, juste des ordinateurs quelconques. Ce à quoi nous avons assisté vendredi 21 octobre était sans conteste d’une bien plus grande ampleur—mais à part ça, est-ce que c’était vraiment plus effrayant?

Un vieux débat fait rage autour des délits informatiques: s’agit-il d’une nouvelle forme de délinquance ou ne sont-ce que les bons vieux méfaits d’antan (comme des fraudes à la carte de crédit ou de l’escroquerie) commis à plus grande échelle et de plus loin? Or il se trouve que l’attaque par déni de service est un des rares types de délits en ligne qui n’a pas directement d’ancêtre pré-internet.

Il est donc normal de s’interroger sur les menaces de sécurité posées par l’internet des objets: sont-elles vraiment nouvelles ou ne sont-elles qu’une répétition des mêmes vieux délits informatiques commis à une plus grande échelle encore? L’attaque du 21 octobre semble assez clairement relever de cette dernière catégorie, et cela va probablement rester valable tant que les appareils connectés ne présentent que peu de risque par nature.

Une ère nouvelle des attaques sur internet

Il n'est pas question de minimiser le sérieux de cet incident, qui a provoqué d’importantes perturbations pour de nombreux utilisateurs d’internet et posé des questions cruciales sur l’attention que nous prêtons à la sécurité d’appareils connectés en apparence triviaux. Il s’agit juste de faire remarquer que si ce vendredi a vu l’aube d’une nouvelle ère des attaques internet alors, pour l’instant en tout cas, cette nouvelle ère ressemble diablement à l’ancienne.

Le côté «objets» des appareils impliqués—le fait qu’il s’agissait de caméras, pas seulement d’ordinateurs portables—n’a pas fait une grande différence dans ce cas excepté en termes de volume. Et oui, c’est vrai que ce volume est inquiétant. L’augmentation du nombre d’appareils connectés signifie un plus grand nombre de cibles pour les pirates susceptibles de les manipuler et de les rassembler pour en faire des bots massifs capables de bombarder de paquets des cibles comme Dyn. Dans ce sens, un internet plus grand est par nature moins sûr. Mais il y a de bonnes nouvelles ici: les menaces posées par l’internet des objets ne sont pas—en tout cas pas encore—beaucoup plus spectaculaires ou dangereuses que celles que nous affrontons déjà depuis des années.

Certaines des menaces de l’internet des objets sautent aux yeux: si votre voiture est connectée et qu’elle peut être contrôlée à distance, cela pose un risque de sécurité évident. Mais d’autres sont moins claires à distinguer: si votre magnétoscope numérique, votre congélateur ou votre brosse à dent peuvent être piratés, est-ce si grave que ça? Les attaques contre Dyn laissent penser que nous ferions bien de nous préoccuper de la sécurité de l’Internet des objets, même si l’on se soucie peu de «l’objet» en question. Pirater un objet peut servir de marchepied pour lancer des attaques contre d’autres cibles plus conséquentes. C’est là une importante leçon sur la sécurité en ligne, très souvent difficile à faire comprendre aux utilisateurs: même les comptes et les machines dont le piratage vous indiffère peuvent souvent être utilisés pour attaquer quelque chose qui vous tient à cœur.

Des scénarios effrayants

Notre optimisme face aux dangers du piratage de notre brosse à dents nous rend moins susceptibles de changer les mots de passe par défaut de nos objets connectés, ce qui augmente les risques que ces appareils présentant peu de risques soient affectés par un programme comme Mirai.

Bien entendu, les voitures et les cuisinières connectées c’est une autre histoire. L’idée que quelqu’un pirate mon magnétoscope numérique et juge mon amour pour les vieux épisodes d’America’s Next Top Model ne me fait pas tellement peur. En revanche, la possibilité que quelqu’un précipite ma voiture du haut d’une falaise, mette le feu à ma maison ou laisse les brûleurs de ma cuisinière allumés toute la nuit? Ça, ce sont des scénarios qui me font peur. D’autres appareils peuvent se trouver à mi-chemin sur le spectre des risques allant de pas grave à danger de mort—un réfrigérateur connecté, par exemple, pourrait être manipulé pour gâcher vos aliments, une ampoule électrique connectée peut permettre à quelqu’un d’allumer et d’éteindre la lumière à sa guise chez vous. Certes, tout cela pourrait être souverainement agaçant. Mais il y a peu de risque que cela vous tue.

En revanche, tout cela serait parfaitement nouveau –ce sont des menaces que les ordinateurs n’avaient pas encore présentées jusqu’à présent. L’attaque du 21 octobre n’était qu’un tout petit pas dans cette direction. Il s’agissait d’une menace à laquelle nous avons déjà été confrontés à maintes reprises, amplifiée et renforcée par l’omniprésence des appareils connectés mais pas vraiment radicalement différente par nature du genre de nuisance infligée par de précédentes attaques en ligne.

Cela ne signifie pas que nous devions faire fi des inquiétudes de sécurité que pose l’internet des gadgets. Les objets que vous ne vous souciez pas de sécuriser en ligne peuvent être utilisés pour attaquer ceux auxquels vous tenez, comme l’infrastructure d’internet. Pour autant, annoncer l’avènement d’une nouvelle ère apocalyptique des failles de sécurité de l’internet des objets semble un tantinet prématuré.

Josephine Wolff
Josephine Wolff (3 articles)
Journaliste
En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour réaliser des statistiques de visites, vous proposer des publicités adaptées à vos centres d’intérêt et nous suivre sur les réseaux sociaux. > Paramétrer > J'accepte