Par Charles Bwele.
Le 22 septembre 2016 le blog Krebs On Security – du chercheur en cybersécurité Bryan Krebs –fut victime d’une « attaque par déni de service » (DDOS : Distributed Denial Of Service) chiffrée à 620 gigaoctets/seconde, franchissant le record de 300 Go/s. Son hébergeur Akamai s’avoua incapable de protéger le blog d’un tel assaut et expliqua que les contre-mesures nécessaires auraient coûté de 150 000 à 200 000 dollars/an. Heureusement, Google se porta au secours du blogueur démuni avec sa technologie anti-DDOS nommée Project Shield, forte de son immense et résiliente infrastructure numérique.
Victime d’une cyberattaque
Le même jour, l’hébergeur et fournisseur d’accès OVH fut victime d’une attaque du même type estimée à 100-800 Go/s… avec des pics à 1,5 téraoctet/seconde (To/s) ! Les hébergeurs/FAI Psychz Networks et Cogent Communications, le fournisseur de serveurs virtuels privés Choopa et l’éditeur de jeux vidéo Blizzard furent également paralysés par des attaques DDOS de plusieurs centaines de Go/s.
N.B. : les attaques DDOS consistent à inonder un réseau / un serveur de données via un réseau de machines infectées (botnets) afin d’empêcher son fonctionnement et/ou d’en interdire l’accès.
L’ampleur inédite de ces attaques DDOS doit énormément à des botnets mobilisant – outre les ordinateurs classiques – des routeurs, des enregistreurs vidéo numériques et des caméras de surveillance. Ainsi, plus de 500 000 caméras « zombifiées » furent impliquées dans l’attaque DDOS contre Krebs, et près de 150 000 caméras contre OVH.
Vulnérabilité des objets connectés
De fait, le cauchemar des professionnels de la cybersécurité a pris forme : les objets connectés sont désormais des vecteurs de cyberattaques parmi tant d’autres. Ces objets sont rarement pourvus d’une console d’administration, d’un module de mise à jour et encore moins d’une solution minimale de sécurité… et laissent présager un Internet des Objets potentiellement infernal.
Faut-il s’attendre à de méchants botnets de réfrigérateurs, d’horloges ou de voitures connecté(e)s visant des équipements domestiques ou des serveurs professionnels ? Des gares, des aéroports ou des banques seront-ils/elles paralysé(e)s par des cyberattaques massives d’objets connectés ?
Penser à la cybersécurité
Pas à pas, de nombreux produits manufacturés sont bien plus que des objets de métal ou de plastique dotés de mécanique, d’électricité et/ou d’électronique : ils deviennent connectés et intelligents. Leurs formes sont statiques et définitives, leurs fonctions sont dynamiques et évolutives… à l’image des smartphones Android / iPhone, du téléviseur Samsung Smart TV et des voitures intelligentes de Tesla Motors ou BMW qui acquièrent de nouvelles capacités après des mises à jour de leurs systèmes d’exploitation, apps, firmwares et/ou logiciels embarqués.
De fait, leurs conceptions et leurs utilisations devront également être (mieux) pensées à l’aune de la sécurité. Dans quelques années/décennies, votre voiture, votre télévision, votre réfrigérateur et vos objets connectés à domicile / au travail devront être muni(e)s d’un antivirus, d’un pare-feu et/ou d’une solution de sécurité fourni(e)s par les fabricants ou par des acteurs tiers, le tout couronné par votre culture générale de la cybersécurité et de l’infosécurité…
Toutefois, gardez-vous de toute illusion : l’Internet des Objets sera un véritable eldorado pour les cybercriminels de tout poil… et les attaques DDOS seront très probablement légion.
—
DDOS involontaire : hier, journal de 13h de JPP sur TF1. Un petit sujet sur le site « info tiret retraite.fr ». Le site est inaccessible depuis.
J’ai pu constater que presque à chaque fois qu’un site quelconque est cité ainsi, il est coincé dans les secondes, dans les minutes qui suivent.
La zombification peut été très insidieuse et passer par des lecteurs, des auditeurs, des spectateurs de bonne foi.
Pour ce qui est du risque de DDOS issus d’objets contaminés, c’est une évidence. Mais on peut imaginer que les parades sont en définitive relativement simples tant Internet est distribué et normalisé. Je n’ai pas d’inquiétude sur le moyen long terme, mais à court terme ça peut donner des cas étranges.
Le plus gros risque, et celui la est avéré, est que nos politiciens ne cherchent à légiférer en la matière, bloquant ainsi toute souplesse conceptuelle indispensable à des solutions durables et efficaces…
Vu que la securite est souvent le cadet des souci des societes qui concoivent ses objets (normal ca coute cher et ca rapporte rien), vu que souvent les developpement se font au plus vite pour griller la concurrence, vu que les utilisateurs sont souvent incapable de mettre ajour leurs objets (soit par manque de connaissance, soit car trop complique/risqué), vu qu en france au moins la profession de developpeur est méprisée (c est la viande de SSII, donc on trouve peu de programmeurs experimente, la plupart quittant la programmation au plus vite) c est pas pret de s arranger
Un frigo sans VPN, non merci 🙁