Les milliards de caméras, thermostats intelligents et autres téléviseurs reliés au réseau sont autant de bases pour mener des attaques massives contre des sites web ou des serveurs. Des attaques susceptibles de couper l’accès internet à des pays entiers.
Quoi de plus innocent d’une ampoule Hue de Philips, dont on peut contrôler l'allumage, l'intensité lumineuse et la couleur depuis son smartphone ? Sauf qu’en infectant quelques-unes de ces bêtes ampoules avec un code malveillant, il serait possible de contaminer une ville grande comme Paris par réaction en chaîne, permettant d’allumer ou d’éteindre simultanément toutes les lumières, ont montré des chercheurs américains.
Faire sauter internet avec des millions d’attaques simultanées
Pirater une caméra connectée permet certes d’espionner les allers et venues de son voisin. Mais le véritable intérêt des cybercriminels n’est pas là : eux poursuivent un objectif bien plus ambitieux : faire sauter l’internet mondial. Leur tactique : «recruter» des dispositifs IoT pour lancer des attaques massives contre des sites web ou des serveurs, visant à les rendre inopérants. Ce que l’on appelle une attaque par déni de service (DDoS).
Le 21 octobre 2016, de nombreux sites (Airbnb, Twitter, Reddit…) ont ainsi été inaccessibles durant plusieurs heures. L’attaque, menée par une armada de 500 000 appareils piratés, a visé le service Dyn, servant à associer les noms de domaine aux adresses IP. En septembre, l’hébergeur français OVH a subi la plus grosse attaque DDoS de son histoire, lancée par un botnet constitué de 145 607 caméras connectées hackées. Un botnet surpuissant, capable de générer un trafic atteignant 1,5 To par seconde. De quoi faire tomber n’importe quel site en quelques minutes.
En 2016, la puissance moyenne des attaques a atteint 800 Gbps (gigabits par seconde), contre 500 Gbps en 2015, d’après l’entreprise de sécurité Arbor Networks. Les hackers auront bientôt la puissance nécessaire pour faire tomber l’intégralité d’internet, s’inquiètent les experts. Avec un débit de 10 Tb/s, celle des câbles sous-marins, on peut ainsi tout simplement couper l’accès internet à un pays entier, comme ce fut le cas du Liberia en octobre dernier. Bruce Schneier, l'un des meilleurs expert sur la cybersécurité, avertit sur son blog qu’un «acteur étatique» mènerait des tests de résistance sur certaines infrastructures fondamentales de l'internet, soupçonnant les Chinois ou les Russes.
Des botnets de plus en plus puissants et intelligents
Le botnet le plus connu touchant l’internet des objets (IoT) s’appelle Mirai. Le malware qu’il porte possède dans son code un outil qui scanne automatiquement des milliers d’adresses IP à la recherche d’objets connectés (caméras, imprimantes, routeurs…). Il teste alors une série d’identifiants par défaut et infecte le nouveau dispositif. Aujourd’hui Mirai est sur le déclin, mais d’autres botnets encore plus puissants et intelligents arrivent sur le marché : Persirai, Leek ou encore BrickerBot. Certains peuvent rester «dormants» et se réactiver même lorsqu’on réinstalle l’appareil et qu’on change son mot de passe.
Avec plus de 30 milliards d’objets connectés à internet en 2022, d’après Ericsson, la menace ne va faire que s’accroître. En 2016, 45% des entreprises et institutions publiques et 21% des data centers ont ainsi connu plus de 10 attaques DDoS par mois, d’après Arbor Networks. Des attaques qui engendrent une perte de 500 dollars pour chaque minute d’interruption du service.
Des «cyber crash tests» obligatoire pour l’IoT
Tout cela en raison du manque criant de sécurité de cette flopée d’objets connectés. «Il faut moins de trois minutes à un hacker pour prendre le contrôle d’un nouvel objet mis en réseau», indique Samy Kamkar, un éminent consultant en sécurité informatique. Non seulement les utilisateurs modifient rarement leurs mots de passe par défaut, mais les fabricants sont bien peu soucieux des aspects liés à la sécurité. «Tous ces objets reposent sur des systèmes qui partagent les mêmes vulnérabilités», avance Gérome Billois, expert en cybersécurité au cabinet Wavestone. «Aujourd’hui, c’est comme si on vendait des voitures sans faire de crash test. Il faudrait rendre obligatoire des tests de cyberrésistance pour mettre en vente un objet connecté». Il en va de l’avenir même de la Toile.