Brian Krebs est un journaliste bien connu, spécialisé dans les questions de cybersécurité. Ses enquêtes révèlent souvent les méfaits et les stratégies des cybercriminels, ce qui lui vaut d’être une cible privilégiée. Le mois dernier, il a publié un article au sujet d’un site de hackers mercenaires qui a conduit à l’arrestation de ses propriétaires. Dans la foulée, son propre site a été mis hors ligne par une importante attaque DDoS.
En soi, rien de nouveau sous le soleil. Les attaques par déni de service distribué (DDoS, donc) rendent souvent des sites (ou d’autres systèmes reliés à Internet) inutilisables en les surchargeant de trafic. Quant au terme “distribué”, il signifie tout simplement que d’autres ordinateurs non-protégés et reliés à Internet – parfois par millions – sont recrutés par un botnet pour participer à l’attaque contre leur gré. C’est une tactique vieille de plusieurs décennies ; les attaques DDoS sont perpétrées par des hackers solitaires dans le seul but de nuire, par des criminels cherchant à extorquer de l’argent, et par des gouvernements qui testent leurs propres tactiques. Il existe des moyens de se défendre, et même des entreprises qui vendent des protections spécifiques.
Videos by VICE
Pour le dire (très) crument, c’est un concours de bites. Si les assaillants parviennent à générer un flux de données supérieur aux capacités de défense de celui qui est attaqué, ils gagnent. Si les défenseurs parviennent à accroître leurs capacités d’accueil pour faire face à l’attaque, ils l’emportent.
Ce qui est nouveau, dans l’attaque contre Krebs, c’est à la fois son échelle et les appareils qu’ont utilisé les hackers malveillants. Au lieu d’avoir recours à des ordinateurs classiques pour leur botnet, ils ont fait appel à des caméras de surveillance, à des enregistreurs vidéo numériques, à des routeurs locaux, et à divers objets connectés à l’Internet – ce que l’on appelle l’Internet des objets (ou IoT, pour “Internet of Things“).
Beaucoup a déjà été dit – et écrit – sur la vulnérabilité de l’Internet des objets. D’ailleurs, le logiciel utilisé pour l’attaque contre Krebs était simple et relativement médiocre. Ce que cette attaque révèle, c’est qu’en raison de son modèle économique, l’IoT demeurera vulnérable tant que les gouvernements n’interviendront pas pour résoudre ce problème majeur. C’est un échec du marché, qui ne peut pas se régler tout seul.
L’Internet des objets demeurera vulnérable tant que les gouvernements ne s’attaqueront pas au problème.
Si nos ordinateurs et nos smartphones sont (relativement) sécurisés, c’est parce qu’il existe de vastes équipes d’ingénieurs spécialisés qui travaillent sur le problème en permanence. Des entreprises comme Microsoft, Apple et Google passent énormément de temps à tester leur code avant de le diffuser, et remédient rapidement aux vulnérabilités lorsque celles-ci sont découvertes. Ces entreprises peuvent former des équipes spécialisées tout simplement parce qu’elles gagnent énormément d’argent, directement ou indirectement, grâce à leurs logiciels – et que la sécurité fait partie de leurs arguments de vente. On ne peut pas en dire autant des systèmes intégrés tels que les DVR ou les routeurs. Ces systèmes sont vendus avec une marge assez faible, et sont souvent fabriqués par des tiers à l’étranger. Et les entreprises qui les produisent n’ont tout simplement pas l’expertise nécessaire pour les sécuriser.
Pire encore, la plupart de ces appareils ne peuvent pas être patchés. Même si le code source du botnet qui a attaqué Krebs a été rendu public, on ne peut pas mettre à jour les appareils qui ont été affectés. Microsoft envoie des mises à jour à votre ordinateur une fois par mois. Apple le fait tout aussi régulièrement, quoique sans date précise. Mais le seul moyen de mettre à jour votre routeur, c’est de le jeter et d’en racheter un nouveau.
La relative sécurité de nos ordinateurs et de nos téléphones vient aussi du fait que nous les remplaçons régulièrement. Nous achetons un nouvel ordinateur portable tous les 2-3 ans en moyenne. Les téléphones, c’est encore plus fréquent. Mais pas pour les systèmes intégrés de l’Internet des objets. Ils durent des années, parfois même des décennies. Nous changeons de console tous les cinq ans. De réfrigérateur tous les 25 ans. De thermostat ? Jamais. Aujourd’hui, les banques doivent déjà faire face aux problèmes que pose le fait que la plupart des distributeurs de billets tournent sur Windows 95. Et il en sera de même pour tout l’Internet des objets.
Le marché ne peut résoudre lui-même ce problème, puisque ni les acheteurs ni les vendeurs ne s’en soucient vraiment. Pensez donc à toutes ces caméras de surveillance et autres enregistreurs vidéo numériques utilisés lors de l’attaque contre Brian Krebs. Les propriétaires de ces appareils s’en fichent totalement. Leurs appareils ne leur ont pas coûté grand-chose, ils fonctionnent toujours, et ils ne connaissent pas personnellement Brian. Idem pour les vendeurs : ils vendent désormais des modèles plus récents et meilleurs, et les acheteurs originels ne s’intéressaient qu’au prix et aux performances. Le marché ne résoudra pas le problème tout simplement parce que cette insécurité est ce que les économistes appellent une externalité : un effet de la décision d’achat qui n’affecte que d’autres individus. C’est un peu comme une pollution invisible, en gros.
Ce que tout cela signifie, c’est que l’IoT demeurera vulnérable tant que les gouvernements ne s’attaqueront pas au problème. Quand le marché échoue, le gouvernement reste la seule solution. Les gouvernements pourraient imposer des régulations en matière de sécurité aux fabricants, pour les forcer à sécuriser leurs appareils même si les acheteurs s’en fichent. Ils pourraient aussi les rendre responsables, permettant ainsi à des gens comme Brian Krebs de les poursuivre en justice. Tout cela ferait grimper le coût de l’insécurité, et inciterait les entreprises à dépenser de l’argent pour sécuriser leurs appareils.
Mais pour cela, il faut que des décisions soient prises à l’échelle internationale. L’Internet est global, et les individus malintentionnés peuvent tout aussi bien créer un botnet à partir d’appareils situés en Asie qu’aux Etats-Unis. Sur le long terme, nous devons bâtir un Internet capable de résister à ce genre d’attaques. Mais il faudra du temps. Et d’ici là, attendez-vous à de nombreuses attaques faisant appel à des appareils en apparence inoffensifs.