« Des
bonbons ou un sort ! » crient les enfants aux portes de leurs
voisins : « Si vous ne me donnez pas de bonbons, vous serez la cible
de farces ! »
Dans le même genre, des millions de routeurs, de
caméras de sécurité et autres objets connectés (IoT) ont frappé à la porte du
serveur DNS Dyn une semaine avant Halloween sans offrir d’autres choix que de
recevoir un sort. Ils ont formé une armée géante de zombies ayant pour but l’interruption
d’Internet et de certains de ses services les plus populaires.
Il y a peu, ESET avait prédit avec précision que
l’Internet des objets deviendrait un sujet très important. La préoccupation principale
étant la fuite de données via ces appareils et que ces derniers deviennent une
cible à cause de leur niveau, assez faible, de sécurité.
La semaine dernière les attaques massives par DDoS
ont démontré qu’actuellement les informations privées n’étaient pas la
principale cible des criminels. Leur objectif était de contrôler des millions
d’appareils connectés et de diriger cette puissance vers la cible de leur
choix.
Cette attaque illustre que des dizaines de millions
d’appareils peuvent être exploités à cause de leurs vulnérabilités de sécurité.
Celles-ci sont généralement liées à
l’utilisation des identifiants et mots de passe mis par défaut. Et même si Dyn
a pu atténuer la portée des attaques en quelques heures, on retrouve ici les
prémices d’une « guerre DDoS » qui s’étalera sur les prochains mois.
Pour avoir une idée de l’ampleur que peut prendre
une telle attaque, il suffit de regarder les chiffres : selon les
estimations de Gartner, il y aurait près de 5 milliards d’appareils IoT sur le
marché (y compris l’industrie automobile) à la fin de l’année 2015. Si ces estimations
sont correctes, en 2020, ce chiffre passera à plus de 25 milliards.
Sans un accroissement de la sécurité dans le
domaine de l’IoT à tous les niveaux (constructeurs qui doivent penser aux
logiciels et matériels de sécurité à inclure dans leurs modèles, organismes de
règlementation qui doivent imposer des mesures pour à améliorer les normes déjà
en place) ce problème pourrait avoir de graves conséquences.
De plus les utilisateurs finaux peuvent contribuer
à améliorer la sécurité de ces objets connectés. La première étape serait
d’acheter des objets connectés de qualité conformes aux normes de sécurité
actuelles. On peut tester ses appareils
afin de détecter d’éventuelles vulnérabilités (mots de passe mis par défaut) et
y remédier.