Cyberattaque sur ton frigo

Le 23 décembre 2013 a été détectée la première attaque contre des objets connectés. Des pirates ont pris le contrôle de plusieurs centaines de milliers de terminaux afin de coordonner une cyberattaque massive : PC, smartphones, consoles de jeux… et même un frigo.

Pour évaluer combien de temps il nous restait avant qu’une armée de grille-pains ne prennent d’assaut l’Élysée, nous avons rencontré Ismet Géri, directeur Europe du Sud de ProofPoint, la société américaine de sécurité informatique qui a mis le doigt sur cette attaque d’un nouveau genre.

Ismet Géri, de Proofpoint

VICE : En quoi a consisté exactement cette cyberattaque, que vous avez découverte ?
Ismet Géri : Jusqu’à présent, les attaques d’objets connectés étaient purement théoriques. Tout le monde en parlait mais personne n’avait réussi à démontrer leur existence. La toute première attaque du genre a commencé par une campagne de spams la veille de Noël, le 23 décembre. Elle s’est faite sur 450 000 adresses IP différentes avec une vague de 750 000 emails. Chacune des adresses IP piratées envoyait moins de 10 emails pour ne pas être détectée par les outils anti-spam. Nos ingénieurs se sont rendu compte que parmi toutes ces adresses, 100 000 correspondaient à des objets dits « connectés ».
Un objet connecté, c’est par exemple une box TV ou une console de jeux reliées à Internet. Parmi les objets visés, on avait même un « frigo connecté ». Évidemment, il y a aussi les objets connectés plus traditionnels : les PC ou les smartphones.

J’ai lu le terme « thingsbotnet » pour désigner cette attaque, ça veut dire quoi ?
Un ordinateur dont on prend le contrôle à distance devient un « bot ». Quand on en met plusieurs en réseau, on crée ce qu’on appelle un « botnet ». Avec des objets connectés, c’est exactement la même chose, sauf qu’on rajoute « things » – l’Internet des objets connectés se traduit par « Internet of Things » en anglais. On pirate les objets connectés, on en prend le contrôle à distance, on les met en réseau et ça devient un thingsbotnet.

Sait-on par qui cette attaque a été orchestrée ?
Non, on n’en connaît pas les commanditaires. On connaît seulement les adresses IP émettrices, c’est-à-dire celles des objets connectés et ordinateurs piratés.Il est fondamental de comprendre qu’aujourd’hui, un objet connecté n’est pas du tout sécurisé. En entreprise, on a compris les enjeux critiques de la sécurité et on a trouvé des solutions pour les PC et smartphones à usage professionnel. En revanche, pour les objets connectés, c’est une autre affaire – la plupart n’ont même pas de mot de passe. Ces objets connectés embarquent des serveurs, souvent par défaut. Ils sont totalement ouverts, non sécurisés et inutilisés, comme dans le cas de ce fameux frigo. Il est alors très facile pour un hacker de s’introduire dans cet objet pour envoyer une campagne de spams. C’est tellement simple qu’ils n’ont même pas eu à mettre en place une attaque évoluée comme ils le font sur des réseaux d’entreprise : installer un cheval de Troie, un logiciel espion ou un « exploit » évolué de type Zero-Day.

Mes parents ont une maison domotique, avec les stores, la clim et la machine à café en réseau, mais je croyais qu’ils étaient minoritaires, que la domotique, c’était le futur du passé. Ce n’est pas le cas ?
La majorité des analystes estime que d’ici à 2020, il y aura entre 100 et 200 milliards objets connectés dans le monde. 2020, c’est demain. Imaginez ce qu’on peut faire avec 200 milliards d’adresses IP d’objets connectés en terme de cyberattaque.

Mais les objets connectés, ça sert vraiment à quelque chose où ça se résume à des tasses qui tweetent la température de votre café ?
Les objets connectés vont bientôt représenter de vastes nouveaux marchés. Aujourd’hui, il existe des parkings connectés, grâce à une start-up française qui s’appelle SigFox. La ville de Paris travaille aussi sur un projet d’horodateur connecté avec un système d’IP évolué. La voiture connectée et intelligente est un très gros sujet pour les constructeurs. Ça va fortement les aider à améliorer leurs marges dans ce secteur en leur permettant de recueillir le maximum d’informations sur l’utilisation de la voiture pour proposer des modèles qui répondent mieux aux attentes du marché. Ces mêmes données seront ensuite utilisées par les assureurs pour adapter les polices d’assurance. On parle beaucoup de big data, là ça sera à une échelle considérable car on pourra corréler ces données, les promouvoir, les vendre… C’est aussi ce qui fait la force des réseaux sociaux aujourd’hui, la collecte et la mise à disposition de gigantesques quantités d’informations. Ça aura donc un gros impact sur l’économie, dans la vie des gens au quotidien, d’où la nécessité de sécuriser correctement ces terminaux.

Et vous pouvez me donner une idée des dangers potentiels de telles attaques ?
À partir du moment où les pirates peuvent accéder à distance à l’objet, tout est possible. Par exemple, aujourd’hui, il existe des appareils médicaux connectés, comme des scanners ou IRM. Certains chirurgiens pratiquent même des opérations à distance. Si on atteint ces appareils et systèmes de communication, on peut tout faire, même les éteindre. Pour la voiture connectée, le hacker pourra freiner ou accélérer à votre place, vous perdrez le contrôle de votre véhicule.

Comment on peut s’en protéger ?
Dès aujourd’hui, il est possible de mettre en place des mots de passe, pour un niveau minimal de sécurité. Mais bon, sur les objets connectés qui n’en ont pas d’office, c’est relativement compliqué à mettre en place, et puis une fois que vous avez oublié le mot de passe de votre frigo, vous faites quoi ? Et puis, vous imaginez votre maman, votre grand-mère faire une mise à jour d’antivirus sur un frigo ?

Oui. Parmi tous ces objets connectés, lesquels sont les plus faciles à hacker, et dont le piratage est le plus dangereux pour notre sécurité et notre liberté ?
Les smartphones sont très concernés, car contrairement aux ordinateurs qui sont vraiment dans le réseau de l’entreprise, vous les utilisez un peu partout. Il est donc beaucoup plus facile de les pirater, car lorsque vous cliquez sur l’e-mail depuis votre smartphone, vous allez directement accéder à Internet sans passer par les filtres des antivirus ou firewalls qui pourraient éventuellement bloquer l’accès au site si un problème avait été détecté.Il y a aussi les consoles connectées et les box TV. Preuve en est, les piratages répétés du réseau de jeu PlayStation Network de Sony, avec des centaines de milliers de données utilisateur volées.

Est-ce que cette grande faiblesse du secteur peut le condamner à ne jamais se développer, parce que les coûts de sécurisation sont trop importants par rapport aux opportunités que ça représente ?
Le marché est énorme, on est incapable d’en prendre la mesure aujourd’hui. Toute innovation technologique pose des problèmes de sécurité – en inventant l’avion, on a inventé le crash. Si on s’était arrêtés aux problèmes de sécurité, on n’aurait jamais innové sur Internet.
Il va falloir réfléchir sérieusement au modèle, comme on l’a fait pour l’entreprise. C’est une opportunité de business gigantesque pour les éditeurs de logiciels et les entreprises de sécurité informatique. Vont-elles être viables économiquement ou non ? Les plus faibles vont disparaître et les meilleurs réussiront. Chez ProofPoint, nous pensons qu’il faut protéger l’utilisateur final plutôt que de défendre l’infrastructure ou le réseau. Mais la discussion reste ouverte car on est encore loin des 200 milliards d’objets connectés. Si même le Pape dit qu’Internet est un don de Dieu, ça vaut le coup d’y réfléchir.

Neil Tamzali est sur Twitter @lesarchivistes