Shodan est le moteur de recherche le plus dangereux du monde

Aujourd’hui, les gens considèrent Internet comme un moyen de perdre du temps plutôt que d’en gagner. Mais comme nous devenons de plus en plus flemmards, nous avons trouvé le moyen de l’utiliser pour faire des choses comme fermer la porte du garage, régler le niveau de température de nos réfrigérateurs à distance et faire couler le café depuis notre lit, par le biais d’une application smartphone. Tous ces appareils ont besoin d’être connectés à Internet pour fonctionner et Shodan – un moteur de recherche développé par une compagnie privée – s’occupe de les débusquer.

Le logiciel explore Internet pour trouver tous les appareils qui y sont connectés. Parallèlement aux frigos et aux routeurs sans fil, il a ainsi détecté les tableaux de bord de centrales électriques, d’usines de traitement d’eau, d’équipements scientifiques, de crématoriums et même d’un barrage en France. Ce qui signifie que quiconque d’assez sadique disposant d’un minimum de savoir-faire sadique pourrait traquer ces dispositifs et décider, par exemple, de couper l’alimentation de toute une ville, de l’inonder ou de faire exploser une centrale électrique, tranquillement installé devant son ordinateur.

Trouver les accès secrets à des appareils connectés à Internet n’est pas nouveau. Il n’y a pas si longtemps, un type nommé Adrian Hayter avait lancé un site Internet qui collectait les flux vidéo des caméras de surveillance.

Mais les découvertes de Shodan sont susceptibles de poser des problèmes bien plus destructeurs que de simples violations de la vie privée. J’ai donc appelé John Martherly, le créateur de ce moteur de recherche, pour savoir les menaces que ces innovations logicielles faisaient peser sur nous.

John Matherly.

VICE : Salut John, quand est-ce que tu as commencé à travailler sur Shodan ?
John Matherly : J’ai commencé à travailler dessus pendant mon temps libre, avec un ordinateur Dell à 150 euros, et ça s’est développé lentement sur trois ans. Quand j’ai commencé, j’ajoutais peut-être 10 000 ou 100 000 appareils par mois, maintenant j’en ajoute des centaines de millions. La vitesse à laquelle j’arrive à fouiller Internet a incroyablement augmenté.

Wow, ça fait beaucoup. Mais c’est quoi exactement, le but de Shodan ?
Eh bien, ça a fini par être utilisé d’une manière un peu différente de ce pourquoi je l’avais créé au départ. À la base, j’ai développé Shodan pour que les sociétés puissent traquer l’utilisation de leurs logiciels. Au final, les chercheurs en sécurité s’en sont servis pour traquer les logiciels, mais aussi les appareils.

OK.
Depuis longtemps, les chercheurs en informatique analysent la vulnérabilité des systèmes informatiques mais avant Shodan, ils n’avaient pas de données sur lesquelles s’appuyer pour dire : « Il y a une menace réelle. » Shodan a fini par servir de base empirique à leur argumentation – prouvant qu’il est possible d’accéder à des systèmes logiciels à distance de centrales électriques ou de barrages.

Est-ce que Shodan fonctionne de façon semblable à Google ?
C’est similaire, oui. Mais Google croise les URL – ce que je ne fais pas. La seule chose que je fais, c’est de saisir des adresses IP aléatoirement parmi toutes les adresses qui existent, qu’elles soient actives ou pas, et je tente de m’y connecter via des ports différents. Ce n’est pas probablement pas une partie du web visible en ce sens que vous ne pouvez pas y accéder à l’aide d’un simple navigateur. Ce n’est pas quelque chose que les gens peuvent découvrir facilement, parce que n’est pas accessible comme un site Internet classique.

Les commandes d’un crématorium auxquelles vous pouvez accéder via votre ordinateur. 

À quel genre de choses qui sont connectées à Internet vous pouvez accéder ? Tout ce que vous ne vous attendiez pas à trouver ?
Le cyclotron par exemple – un accélérateur de particules – en fait partie. C’est un engin de physique théorique, c’est très, très dangereux et ça n’aurait jamais dû être mis en ligne. Ensuite, il y a tous ces trucs bizarres, comme les crématoriums. C’est vraiment glauque. Vous voyez le nom des patients et les différents réglages s’afficher – par exemple, il y a un réglage pour les enfants. Il n’y a pas d’authentification nécessaire, pas de mot de passe, rien.

Ouais, c’est flippant. Autre chose ?
Les caméras de vidéosurveillance sont très populaires, ça parle à tout le monde. On a aussi découvert un énorme barrage hydroélectrique en France qui était connecté à Internet. C’est insensé. D’autant que le barrage avait eu pas mal d’accidents par le passé. La ville à proximité avait déjà été inondée à cause d’une faillite du barrage.

Les installations comme les centrales électriques ne devraient-elles pas être plus sécurisées ?
L’une des raisons pour lesquelles elles sont aussi mal protégées, c’est parce que les responsables veulent économiser de l’argent. Internet n’existait pas quand beaucoup de ces centrales ont été construites, ils se sont juste débrouillés pour adapter leur système à Internet et ont économisé de l’argent en ne faisant pas tout pour l’installer correctement. Ils n’ont évidemment pas pensé aux impératifs de sécurité, et ils doivent maintenant faire face aux conséquences.

Et ce que tu me disais, c’est que beaucoup d’appareils ne requéraient pas de mot de passe ?
Oui, précisément. Et même les appareils qui requièrent une authentification utilisent la plupart du temps les login par défaut. Il vous suffit alors d’aller sur Shodan, de rechercher ces fameux login de base et de vous connecter à l’appareil de votre choix.

Le tableau de bord d’une station d’épuration auquel vous pouvez accéder depuis le confort de votre chambre à coucher.

Donc, à l’heure actuelle, tout est connecté à Internet, c’est ça ?
Cette année est censée être celle de « l’Internet des objets ». Parce que la majorité des produits qui sortent sont connectés à Internet. Mais ce que les gens ne réalisent sans doute pas, quand ils connectent leur écoute-bébé à Internet ou qu’ils font plein de choses à partir de leur téléphone, c’est les problèmes de sécurité que ça pose. Ce n’est pas parce que vous ne vous trouvez pas sur Google quand vous tapez votre nom qu’on ne peut pas vous chercher et vous trouver sur Internet.

Qu’est-ce qui vous inquiète ?
Les webcams ne sont probablement qu’un problème mineur, qui posent des problèmes quant à la vie privée. Les petits appareils ne sont pas, en eux-mêmes, un problème de sécurité nationale. Mais si vous pouvez pirater, disons, un millier d’entre eux, là ça devient un problème d’ordre national – vous pouvez faire beaucoup de dégâts. En fonction du nombre d’appareils auxquels vous obtenez accès, vous pouvez vraiment nuire.

Vous êtes surpris que rien de grave ne se soit encore passé ?
Je pense que les gens sous-estiment le savoir technique nécessaire pour passer de la découverte à l’exploitation. Deuxièmement, on ne peut pas savoir depuis combien de temps le système est affecté. Vous pouvez intégrer un logiciel dormant à un système et, le jour où vous voudrez en faire un usage stratégique, tout sera prêt.

Donc si ça se trouve, il y a des virus dormants un peu partout ?
Oui, c’est tout à fait probable. Enfin, il faut quand même vous y connaître – un gamin de 16 ans aurait du mal à prendre le contrôle d’une centrale électrique. Ce n’est pas si simple. Avec Shodan, vous pourrez trouver la centrale, mais rentrer à la racine du programme pour installer son propre code nécessite une véritable connaissance du système, en particulier s’il s’agit d’une centrale électrique.

Donc qu’est ce qui empêche un criminel endurci d’utiliser Shodan pour causer le chaos ?
Les gens qui savent réellement ce qu’ils font n’utiliseront pas Shodan, parce qu’ils ne souhaitent pas que leurs actions soient tracées. Shodan n’est pas un service anonyme. Si vous utilisez Shodan et que vous souhaitez plus de 50 résultats – et 50, ce n’est pas beaucoup – vous devez commencer à me donner des informations personnelles. Si quelqu’un veut faire quelque chose de vraiment illégal, il va utiliser des botnets pour recueillir les informations à sa place.

Merci John !

Suivez Sam sur Twitter : @sambobclements