BrickerBot, la pandémie qui décime les objets connectés

Les objets connectés sont une saloperie. Pas tous, évidemment, mais la majeure partie d'entre eux. En 2017, selon les chiffres du cabinet Gardner, le monde devrait compter 8,38 milliards de ces abominations dans les foyers de gens naïfs prêts à claquer un demi-SMIC pour pouvoir discuter avec leur frigo sur Skype. A la limite, si les objets connectés restaient un simple prétexte pour se foutre de la gueule des consommateurs en mal d'innovation, tout irait bien, mais le problème est bien plus profond. Car ces appareils sont de véritables cauchemars pour les chercheurs en sécurité informatique, la faute à des fabricants qui se foutent complètement de leur protection et d'utilisateurs qui ne s'en préoccupent pas une seconde. Résultat : la prolifération des objets connectés a donné naissance à un nouveau type de menace, le botnet, qui infiltre des milliers voire des millions de ces objets mal protégés pour utiliser leur puissance de calcul et la convertir en attaque de déni de service (DDoS).

C'est de cette manière qu'en octobre 2016, le virus Mirai se présentait au monde entier avec fracas en paralysant pendant une demi-journée l'accès Internet de la côte Est américaine après avoir foutu en l'air le fournisseur DNS Dyn, en mobilisant un million de caméras de surveillance connectées du fournisseur chinois Xiangmai, théoriquement bien trop vulnérables pour être commercialisées. Un premier coup d'éclat qui a poussé la communauté de chercheurs en sécurité informatique à hurler à qui voulait l'entendre que les objets connectés représentaient l'une des menaces les plus graves pour l'avenir d'Internet, le tout dans une indifférence quasi-générale. Frustré par l'absence de réponse des fabricants, qui continuent à vendre leur came mal protégée, et du silence des régulateurs, qui n'imposent toujours aucune norme de protection aux fabricants, un homme a décidé de prendre les choses en main, seul, pour sensibiliser le public et les fabricants d'objets connectés aux risques des botnets. Son nom : The Janitor, le gardien, le Don Quichotte de l'Internet des objets (IoT). Son arme : BrickerBot, un malware d'un tout nouveau genre, qui s'infiltre dans les objets connectés… pour les rendre inutilisables.

Le 5 avril dernier, la firme de sécurité Radware était la première à identifier cette menace totalement inédite, à analyser son fonctionnement et à la baptiser dans un rapport de sécurité rendu public. En quatre jours, écrivait alors Radware, « BrickerBot » avait attaqué 1895 fois son appât ( « honeypot») en utilisant une technique dite « déni de service permanent » ou « PDoS », la majorité des attaques provenant d'Argentine et une plus petite partie intraçable car provenant du réseau Tor . « Son unique but », écrit Radware, « est de compromettre des appareils IoT en corrompant leur stockage », ce qui flingue définitivement le logiciel interne (« firmware ») de l'appareil et le transforme en une brique plus ou moins coûteuse et parfaitement inutilisable. Pour ce faire, BrickerBot utilise la même vulnérabilité que le virus Mirai, qui exploite le protocole de contrôle d'appareils à distance Telnet par technique de « force brute » (lorsqu'un programme saisit des millions de combinaisons de mot de passe et de login jusqu'à trouver la bonne, sans essayer de « deviner » la combinaison) pour entrer dans les appareils et les infecter. Une fois à l'intérieur du système d'exploitation, le bot entreprend de tout démolir consciencieusement : corruption de la mémoire interne, interruption de la connectivité Internet, destruction des données et, pour finir, effacement pur et simple du code du firmware, jusqu'à transformer l'objet en une coquille vide. L'équivalent informatique d'une lobotomie.

L'attaque ne concerne pour le moment que des objets connectés qui utilisent l'application d'intégration Linux BusyBox, et Radware écrit que la majorité des cibles identifiées sont des produits de la marque américaine Ubiquiti. Toujours selon la firme de sécurité, la seule manière de se prémunir de BrickerBot est de désactiver l'accès de l'appareil à Telnet, s'équiper de dispositifs de repérage d'anomalies du trafic et de protections et, cela va de soi, changer la combinaison login et mot de passe par défaut. D'autant que The Janitor n'a visiblement aucune envie de s'arrêter.

« Je me considère comme une "chimiothérapie d'Internet" »

Fin avril, après un petit tour sur la plateforme Hack Forums suite aux tuyaux d'un informateur anonyme, les journalistes du site Bleeping Computer sont entrés directement en contact avec The Janitor, qui leur a rapidement exposé son manifeste : « Le bordel sécuritaire de l'IoT est le résultat d'entreprises avec des connaissances en sécurité insuffisantes qui développent de puissants appareils connectés à Internet à destination d'utilisateurs qui n'ont aucune connaissance en sécurité. La plupart des IoT destinés aux consommateurs que j'ai trouvés sur le net ont été déployés exactement de la même manière que lorsqu'ils ont quitté l'usine. Par exemple, sur 10 caméras Avtech IP dont j'ai extrait des données utilisateurs, 9 étaient configurées avec le login par défaut admin/admin ! Appréciez une seconde cette statistique… et dites-vous que si quelqu'un avait lancé une voiture ou un outil puissant avec une fonctionnalité de sécurité défaillante 9 fois sur 10, l'appareil aurait immédiatement été retiré du marché. »

Lui se voit donc comme un hacker « white hat » (à l'image de la White Team ou de l'auteur du malware néo-Mirai Hajime, qui poursuivent le même but que BrickerBot), dont l'initiative aide à résoudre des failles de sécurité importantes et par conséquent à construire un Internet plus sûr, dans lequel « les régulateurs feront plus pour pénaliser les constructeurs négligents ». La méthode est contestable, mais le constat de The Janitor est bien réel : le marché des objets connectés ne s'autorégulera pas puisque les consommateurs iront toujours au moins cher, et par conséquent au moins sécurisé. En faisant exploser (presque littéralement) le problème de la sécurité des produits à la gueule des constructeurs, BrickerBot expose concrètement les risques de la démocratisation des IoT – enjeu sur lequel les organes de régulation auraient depuis longtemps dû se pencher. D'autant que, selon The Janitor, le malware a désormais infecté et briqué 2 millions d'objets connectés. « Je n'avais aucune idée (et je n'ai toujours aucune idée) de la profondeur de la faille de sécurité des IoT », écrit-il, « et je suis certain que le pire est encore à venir ».

Pour résumer sa manière de voir les choses, The Janitor convoque ensuite une métaphore oncologique : « Je considère mon projet comme une forme de "chimiothérapie d'Internet" (…) La chimiothérapie est un traitement brutal qu'aucune personne saine d'esprit n'administrerait à un patient en bonne santé, mais Internet est devenu sérieusement malade lors des deux derniers trimestres de 2016 et les remèdes modérés étaient inefficaces. Les effets secondaires du traitement ont été nocifs mais l'alternative – des botnets DDoS de plusieurs millions d'objets connectés - aurait été pire. » Pour lui, la « chimio » BrickerBot est donc nécessaire pour au moins deux raisons : contrôler la propagation des botnets modernes en pratiquant la politique de la terre brûlée, et sensibiliser le grand public à l'un des enjeux essentiels liés à l'Internet des objets, qui rappelons-le constituera la pierre angulaire des sociétés numériques de demain.

Difficile, au vu de son action, de concevoir The Janitor comme une sorte de super-héros oeuvrant pour la justice et la sécurité du plus grand nombre – surtout si votre mixeur connecté à 500 balles a été infecté par BrickerBot - mais c'est pourtant comme cela qu'il se voit, une sorte de lanceur d'alerte de la société civile (The Janitor a indiqué que malgré ses compétences, il n'est pas chercheur en sécurité informatique mais plutôt autodidacte)… un lanceur d'alerte armé d'un putain de lance-flammes, désormais recherché par la justice américaine. Si le modus operandi est effectivement contestable, le pirate soulève néanmoins les bonnes questions : va-t-on réellement vivre dans un monde où tout objet connecté peut potentiellement se retourner contre son propriétaire ou contre Internet tout entier ? Doit-on laisser les constructeurs tranquilles pendant que (la majorité de) ceux-ci se foutent complètement de la sécurité de leurs produits ? Le monde peut-il se permettre de laisser le déploiement de l'Internet des objets hors de toute régulation ? Et peut-être la plus importante de toutes : comment se fait-il qu'en 2017, des entreprises et/ou des individus n'aient pas le foutu réflexe de changer immédiatement les mots de passes par défaut des objets connectés qu'ils achètent, nom de nom ? BrickerBot n'a pas les réponses. BrickerBot n'est pas une solution. Mais BrickerBot est au moins un mégaphone qui hurle aux oreilles des régulateurs de faire quelque chose. Et ça, c'est déjà pas mal.