Le réfrigérateur pourrait-il devenir la prochaine arme de cyberattaque massive ? On n’en est pas là, mais la découverte d’une société de sécurité informatique vient renforcer les craintes de certains à l'égard de l’Internet des objets - les objets connectés - qui pourrait se transformer en nouveau paradis pour cybercriminels.
La société Proofpoint a en effet mis à jour, jeudi 16 janvier, un réseau comptant plus de 100 000 objets connectés - comme des télévisions dernier cri, des routeurs et “au moins un réfrigérateur” - piratés par des cybercriminels afin d'envoyer 750 000 spams. Cette opération s’est déroulée entre le 23 décembre 2013 et le 6 janvier 2014, ont établi les experts de Proofpoint.
“C’est la première utilisation d’un réseau d’objets connectés ‘zombies’ mis à jour”, remarque Jean-François Beuze, président de la société française de sécurité informatique Sifaris. Il s’agit, en fait, de périphériques connectés à l’Internet dont des pirates informatiques ont pris le contrôle et qui leur servent de passerelles pour mener leurs attaques. Ils "rendent ainsi plus difficile l’identification des responsables”, explique Jean-François Beuze. Jusqu’à présent, seuls des ordinateurs étaient utilisés pour ce genre d'opération.
Mettre les dollars avant les bœufs
L’intérêt des cybercriminels pour les réfrigérateurs et autres objets “intelligents” s’explique par la popularité grandissante du secteur de l’Internet via ces objets. Stars du dernier CES, le salon high-tech de Las Vegas, ces nouvelles extensions du domaine du Web entrent dans de plus en plus de foyers. “Plus ces objets deviennent grand public, plus il y aura d’opportunités pour les cybercriminels”, confirme Jean-François Beuze.
Surtout que leur sécurité est loin d’être à la hauteur. “Les constructeurs font la même erreur qu’avec les PC, les portables et les tablettes, ils mettent les dollars avant les bœufs”, souligne Jean-Franços Beuze. En clair, ce spécialiste regrette que la course aux innovations se soit faite au détriment des problématiques de sécurité. La preuve : il a suffi à l’équipe de Proofpoint de rentrer, à distance, l’une des associations “nom d’utilisateur/mot de passe” les plus simples pour avoir accès au panneau de contrôle du fameux réfrigérateur déjà victime des pirates informatiques.
Dans le cas de ce réseau d’objets “zombies”, il ne s’agissait que de spams, donc d’une attaque basique. “Les utilisateurs légitimes de ces téléviseurs et autres périphériques n’ont connu aucun désagrément, mais ce n’est qu’un début”, prévient Jean-François Beuze. Il rappelle que le spam était également la plaie principale de la sécurité informatique sur ordinateur au début des années 2000. Pour lui, la prochaine étape devrait consister à lancer des attaques par déni de service par objet connecté interposé, c'est-à-dire envoyer un nombre suffisamment important de requêtes par Internet pour saturer les serveurs d’un site.
Et après ? La communauté de la sécurité informatique a déjà démontré par le passé les faiblesses du monde de l’Internet des objets. En 2012, un "hacker" avait réussi à prendre le contrôle à distance d’un pacemaker et en juillet 2013, un autre expert informatique avait démontré à un journaliste du magazine "Forbes" comment il pouvait désactiver à distance les freins d’une voiture électrique.
La société Proofpoint a en effet mis à jour, jeudi 16 janvier, un réseau comptant plus de 100 000 objets connectés - comme des télévisions dernier cri, des routeurs et “au moins un réfrigérateur” - piratés par des cybercriminels afin d'envoyer 750 000 spams. Cette opération s’est déroulée entre le 23 décembre 2013 et le 6 janvier 2014, ont établi les experts de Proofpoint.
“C’est la première utilisation d’un réseau d’objets connectés ‘zombies’ mis à jour”, remarque Jean-François Beuze, président de la société française de sécurité informatique Sifaris. Il s’agit, en fait, de périphériques connectés à l’Internet dont des pirates informatiques ont pris le contrôle et qui leur servent de passerelles pour mener leurs attaques. Ils "rendent ainsi plus difficile l’identification des responsables”, explique Jean-François Beuze. Jusqu’à présent, seuls des ordinateurs étaient utilisés pour ce genre d'opération.
Mettre les dollars avant les bœufs
L’intérêt des cybercriminels pour les réfrigérateurs et autres objets “intelligents” s’explique par la popularité grandissante du secteur de l’Internet via ces objets. Stars du dernier CES, le salon high-tech de Las Vegas, ces nouvelles extensions du domaine du Web entrent dans de plus en plus de foyers. “Plus ces objets deviennent grand public, plus il y aura d’opportunités pour les cybercriminels”, confirme Jean-François Beuze.
Surtout que leur sécurité est loin d’être à la hauteur. “Les constructeurs font la même erreur qu’avec les PC, les portables et les tablettes, ils mettent les dollars avant les bœufs”, souligne Jean-Franços Beuze. En clair, ce spécialiste regrette que la course aux innovations se soit faite au détriment des problématiques de sécurité. La preuve : il a suffi à l’équipe de Proofpoint de rentrer, à distance, l’une des associations “nom d’utilisateur/mot de passe” les plus simples pour avoir accès au panneau de contrôle du fameux réfrigérateur déjà victime des pirates informatiques.
Dans le cas de ce réseau d’objets “zombies”, il ne s’agissait que de spams, donc d’une attaque basique. “Les utilisateurs légitimes de ces téléviseurs et autres périphériques n’ont connu aucun désagrément, mais ce n’est qu’un début”, prévient Jean-François Beuze. Il rappelle que le spam était également la plaie principale de la sécurité informatique sur ordinateur au début des années 2000. Pour lui, la prochaine étape devrait consister à lancer des attaques par déni de service par objet connecté interposé, c'est-à-dire envoyer un nombre suffisamment important de requêtes par Internet pour saturer les serveurs d’un site.
Et après ? La communauté de la sécurité informatique a déjà démontré par le passé les faiblesses du monde de l’Internet des objets. En 2012, un "hacker" avait réussi à prendre le contrôle à distance d’un pacemaker et en juillet 2013, un autre expert informatique avait démontré à un journaliste du magazine "Forbes" comment il pouvait désactiver à distance les freins d’une voiture électrique.
Autres articles
-
La responsabilité juridique du fait de l’usage des réseaux sociaux, de la fourniture d’accès, de fourniture de contenus
-
L’Agence de l’informatique de l’Etat lance ses premiers sites harmonisés
-
Les applications Skype, Viber et WhatsApp bientôt bloqués au Sénégal ?
-
Google Sénégal ouvre un nouvel espace pour les créateurs de Contenus Youtube
-
Phase pilote de la 4G: l'ARTP freine Tigo