Le CES 2017 (Consumer Electronic Show), qui s’est tenu en janvier à Las Vegas, a confirmé une tendance forte : qu’ils soient issus de la « French Tech » ou de toute autre source d’innovation, les objets connectés deviennent incontournables. Pour leurs usagers, bien entendu, mais aussi pour les hackers, qui voient en eux l’arme parfaite pour lancer des attaques DDoS !
Pour rappel, les attaques DDoS (Distributed Denial of Service), appelées en français « attaques par déni de service », ont pour objectif de rendre indisponibles un site, un serveur ou une infrastructure Web. Elles sont généralement basées sur la saturation ou l’épuisement des ressources d’un réseau, d’un service ou d’une machine par l’envoi d’innombrables requêtes. Elles peuvent également consister en l’exploitation d’une faille logicielle.
Zombies contre gros poissons du Web
Pour être efficaces et impacter des sites importants, les attaques DDoS sont perpétrées par une multitude de « zombies » : des ordinateurs ou éléments connectés, contrôlés par un hacker à l’insu de leurs propriétaires. Depuis une quinzaine d’années, Yahoo!, Amazon, eBay, CNN en ont notamment fait les frais. De quoi causer des pertes se montant à plusieurs centaines de milliers de dollars car pour ces sites, chaque minute hors service crée une diminution des ventes et/ou des recettes publicitaires.
Notre quotidien tout entier est connecté
Il y a quelques années, les zombies étaient en majorité nos ordinateurs. Mais depuis, un grand nombre de nos objets du quotidien sont devenus connectés. Caméra, alarme, pot de fleurs, balance, bracelet, montre, brosse à dent, drone et même sex toy… Notre vie entière est liée au Web, et nos objets connectés représentent maintenant de potentiels zombies, prêts à fondre sur leurs victimes. Des zombies bien dociles même…
Les objets, connectés mais peu sécurisés
Car outre leurs côtés pratique, fun et ludique, les objets connectés se distinguent par leur grande vulnérabilité. Mots de passe identiques à tous les modèles, failles de sécurité, absence totale de défenses : pour un hacker, prendre le contrôle d’un objet connecté constitue tout sauf un exploit. Alors pourquoi serait-il difficile d’en pirater 100, 500, 1000, 50 000 ? Un tel volume constitue une puissante armée virtuelle capable, lors d’une attaque, d’envoyer un nombre de requêtes suffisamment important pour bloquer les infrastructures réseaux les plus sécurisées.
En 2016, deux attaques DDoS massives par objets connectés
La fin de l’année 2016 a confirmé la crainte exprimée par de nombreux experts du Web. En septembre, OVH, le plus gros hébergeur d’Europe, a été attaqué par une armée de… 140 000 webcams. Résultat : des pointes de trafic supérieures à 1 Tb par seconde ! Préparé à ce type d’événement, l’hébergeur français est heureusement parvenu à limiter les dégâts. Un mois plus tard, une attaque similaire a visé le prestataire DNS américain Dyn. En cause, environ 100 000 objets connectés, infectés par le malware Mirai, qui ont causé le blocage de nombreux sites, et pas des moindres : Twitter, Spotify, PayPal, Soundcloud…
Des attaques DDoS de plus en plus nombreuses ?
Les principaux hébergeurs et prestataires DNS doivent-ils craindre une augmentation des attaques de type déni de service et de leur intensité ? Probablement, tant l’innovation fait rage en matière d’objets connectés. Des objets qui devraient heureusement augmenter leur niveau de protection à l’avenir. Mis en cause lors de l’attaque DDoS qui a touché Dyn, le fabricant d’objets connectés XiongMai a par exemple annoncé un renforcement de la sécurisation de ses produits, ainsi que le rappel de certains objets vendus aux USA. Si ses concurrents lui emboîtent le pas, la tâche des hackers pourraient devenir plus ardue…
One Comment
Boc
6 février 2017 at 12 h 12 minUne possibilité de sécuriser ses objets est d’utiliser une « Box » telle que la UPPERBOX V2 qui est juste un pare-feu dans le cloud relié via un tunnel VPN : simple et efficace ! étonnant que peu de personnes en parle ?!?