Un monde de Thingbots

Les objets connectés font partie de notre quotidien. Qu’arrivera-t-il quand ils se feront hacker ?

Partager sur:
Sauvegarder cet article
Aimer cet article 0
Dalek credits Zoomar (licence creative commons)

La liberté d’expression n’est pas gratuite!

Mais déductible à 66% des impôts

N’oubliez pas de faire un don !

Faire un don

Un monde de Thingbots

Publié le 24 décembre 2014
- A +

Par Thierry Berthier.

Dalek credits Zoomar (licence creative commons)

Les objets connectés investissent jour après jour notre quotidien et deviennent naturellement des cibles faciles pour des attaques informatiques. Vous ne devez plus regarder votre réfrigérateur ou votre téléviseur avec le même œil… Le mal se cache peut-être entre la boite de camembert, la bouteille de soda, le saucisson ou la télécommande. La première cyberattaque référencée d’objets « intelligents » concerne en effet certains réfrigérateurs connectés et vient d’être mise en évidence par la société de sécurité informatique californienne Proofpoint Inc.

Selon Proofpoint, des hackers sont parvenus à pénétrer des routeurs de réseaux résidentiels, des centres multimédias connectés, des téléviseurs et des réfrigérateurs pour créer un botnet (réseau de machines zombies, plate-forme de courrier malveillant, spam, phishing construite à partir du dispositif connecté à l’insu de son propriétaire).

Durant la période du 23 décembre au 6 janvier 2014, Proofpoint a détecté une campagne d’envoi de plus de 750.000 courriels malveillants envoyés à partir d’un grand nombre d’objets connectés. Plus de 100.000 objets détournés de leurs fonctionnalités initiales ont participé à ces envois ; on y retrouve des téléviseurs connectés, des média center, et… des réfrigérateurs. Chaque appareil a envoyé moins de dix courriels mais le nombre d’objets était énorme ! C’est certainement le tout premier cas connu de transformation massive d’objets connectés en objets-connectés-zombies ou « thingbots » et d’installation d’un thingbot-net.

Les objets connectés sont pour l’instant très peu protégés par rapport aux ordinateurs ou aux smartphones. Ils constituent donc une cible facile, vulnérable et intéressante dans le cas d’une construction d’un réseau de machines ou d’objets zombies.

En général, l’utilisateur ne dispose pas d’information retour provenant de l’objet lorsque celui-ci est devenu la cible d’une attaque. Il n’est donc pas informé de la prise de contrôle ou de l’attaque subie par son appareil. Cette vulnérabilité généralisée va contraindre les développeurs à concevoir des objets connectés sécurisés, communiquant en temps réel avec l’utilisateur sur leur intégrité algorithmique. Sans cet ingrédient principal, nos maisons risquent fort de devenir le foyer discret d’une multitude d’agents malveillants, de virus plus ou moins sophistiqués ou d’objets détournés de leur fonction initiale sans que leurs propriétaires s’en aperçoivent. Nos vêtements ou notre pèse-personne deviendront, à notre insu, vecteurs silencieux de cyberattaques massives. Le déferlement prévu des objets connectés dans la maison va induire une augmentation importante du champ des attaques numériques potentielles et de leurs morphologies.

La cyberconflictualité s’installe ainsi à toute échelle, du gros système d’information d’une usine de traitement des eaux, en passant par notre véhicule connecté, ou par un simple réfrigérateur. Le robot de compagnie (Nao, Mother et les autres) devra lui aussi présenter de solides garanties de sécurité s’il veut s’imposer dans notre quotidien. Que ferons-nous lorsque ce dévoué robot changera brusquement de comportement et perdra sa bienveillance initiale ?

La diffusion algorithmique qui opère entre les espaces physiques et cyber nous oblige à repenser en profondeur notre rapport aux objets, et notre représentation mentale des menaces…


Sur le web

Voir les commentaires (11)

Laisser un commentaire

Créer un compte Tous les commentaires (11)
  • On n’a pas attendu les objets connectes pour envoyer du spam, par milliards, chaque jour… et l’objet connecte le plus fragile coté sécurité reste de tres loin le PC sous Windows.

    Reste a imaginer quel intérêt il y a a faire peur a Madame Michu qui maintenant va se méfier de sa balance connectée… craignant sans doute de se faire bouffer un pied. Elle a sans doute plus a craindre de son PC !

    Aujourd’hui, les objets connectés restent du domaine du gadget et du fantasme pour une bonne part. Et compter des routeurs ou des NAS dans leur nombre est une triste manipulation des chiffres. Internet est ne le jour ou on a connecte deux routeurs, ils ne sont vraiment pas nouveaux !

    Je préférerais, surtout sur Contrepoint, lire que l’innovation et la créativité humaine viendront a bout de ces problèmes s’ils prennent une ampleur inquiétante… plutôt qu’on donne du grain a moudre a une société sous perfusion de peur… peur utilisée de facon systématique contre la societe, par tous les politiciens, pour lui enlever sa Liberté.

    Non, nous n’avons pas besoin que vous pointiez ce « danger » qui justifiera au yeux de certains de céder une part de ma Liberté.
    Non, je ne veux pas qu’on instaure le Secretariat d’Etat a la Sécurité informatique.
    Non, je ne veux pas qu’on impose des normes aux constructeurs, mais qu’on les laisser gérer le probleme (qui leur coutera fort cher si le probleme est reel et qu’ils ne s’en occupent pas, parce que les clients se détourneront d’eux).
    Non, je ne veux pas en entendre parler « pour qu’on prenne conscience du risque ». Je veux entendre parler de solutions techniques a un probleme technique. Le reste est inutile.

    Autrement dit, vous auriez peut etre du nous parler de vos recherches, nous dire que vous viendrez a bout de ces problèmes (potentiels), plutôt qu’écrire un article qui pourrait etre repris dans n’importe quel media pour diffuser la peur, attirer l’attention d’un gouvernement qui n’aura jamais la bonne solution (et ne vous demandera meme pas VOTRE avis), et nous privera plus encore de notre Liberté.

    Que se passera-t-il quand les objets seront hackes ? La meme chose que quand les PC sont hackes… On recevra des emails vendant du Viagra, ou bien ils feront tomber des serveurs gouvernementaux ou autres… Un risque qui existe deja avec les telephones portables aussi…

    • Non, mais madame michu filmée avec le facteur par la webcam de son frigo alors qu’elle était sensé être à son cours de yoga et diffusé sur le net …
      Quant à la critique de windows, je suis moi même un expert système, elle est inutile et je ne suis pas windowsien, l’OS n’est pas responsable de votre irresponsabilité sécuritaire, le monde de oui-oui n’existe pas.

      • Fantasme… Madame Michu a ce problème avec son ordi, sa tablette, son téléphone, et ce depuis longtemps.
        Si elle achete un frigo avec une webcam (?), elle n’ajoutera qu’un objet a la liste. Le problème n’a pas été résolu avant, et c’est le seul problème… L’objet connecté ne change pas la donne.

        Remarquons tout de meme que l’article parle d’envoi de spam par des routeurs, et pas d’objets connectés, ni de violation de confidentialité.

        Quant a la critique de Windows, elle est justifiée. Si le frigo de Madame Michu est sous Windows, il sera statistiquement nettement plus dangereux que s’il est sous un autre OS… Le track record de Windows ne me fera pas mentir (ex: Botnet de 30 millions de PC (BredoLab) sous Windows qui envoyaient 3.5Mds d’emails PAR JOUR, a mettre en perspective avec l’exemple cité dans l’article)…

        J’ai toujours eu un problème avec les experts en sécurité : on doit choisir entre Sécurité et Liberté… L’une est toujours au détriment de l’autre. Et tous les experts en sécurité sont payés pour faire pencher la balance.

        Pire, lorsque que la sécurité est sensée protéger la Liberté… on n’obtient aucun des deux. C’est antinomique.

        Madame Michu finira sur Youtube malgré vos efforts… car sinon les experts en sécurité auraient déja évité que ses photos coquines ne soient récupérées sur son téléphone portable, et que sa sextape ne fuite 🙂

        La sécurité n’est pas pour autant inutile, je n’ai rien dit de tel. Mais non, un expert en sécurité ne devrait pas se permettre d’écrire un article alarmiste pour le grand public, tout simplement parce que ca n’engendrera rien de bon. La était mon propos.

        J’ajouterai que je n’ai pas précisé mes qualifications, mais elles sont loin de me disqualifier du débat.

        • Quand vous parlez de qualifications, vous pensez au tournage d’une sextape, lol! c’est noel !
          Attaquer windows est facile, et je suis un unixien pur souche, et je n’ai pas d’action microsoft, donc on ne pourra pas m’accuser de parti pris.
          Mais c’est facile de dire que windows est facilement attaquable car c’est l’OS le plus ouvert, si je prend du mac, je n’aurai pas de problème puisqu’il est propiétaire. C’est comme circuler seul sur une piste automobile fermée et comparer les riques d’accidents avec l’A10 un week-end de grands départs.
          Mais bon de toute façon en tant qu’expert système, pas d’objet connectés, pas de géolocalisation et pas de cloud mais en bon libéral, je laisse à chacun le libre choix. Et puis aujourd’hui, pose j’attends les cadeaux du père noel …

          • Microsoft s’est fait cette réputation par ses négligences. Il a conçu un système (DOS et Windows 3) quasiment sans protections au mépris des règles et de l’état de l’art existants à l’époque, a distribué des millions de W95 où tout était ouvert, s’est développé sur un modèle de diffusion des logiciels sous le manteau par échange de disquettes et des virus qui vont avec … On n’en n’est plus la, mais d’autres ont repris le flambeau de la négligence au service du développement de l’entreprise. Androïd s’est développé parce que les applis gratuites peuvent en échange accéder à toutes les informations de l’utilisateur qui devraient être protégées et qui alimentent les bases de données des fournisseurs.

            Le modèle propriétaire ne garantit absolument rien. Les systèmes de protection utilisés partout maintenant reposent sur la conception et non le secret (les algorithmes sont publics). Et tout le monde utilise le même code réseau. La vulnérabilité provient souvent de l’utilisation de code datant de 20 ans ou les failles n’ont jamais été corrigées. En revanche les derniers gadgets logiciels propriétaires ont toutes les chances d’avoir des failles.

      • On peut se demander (ou pas) pourquoi certains objets connectés ont accès à Internet. On peut encore plus se demander pourquoi un objet connecté serait accessible depuis Internet. C’est un peu technique, mais en matière de sécurité, on doit segmenter et contrôler les accès. Je doute qu’il soit utile que votre frigo accède directement à Internet et encore plus que Internet accède à votre frigo ou votre TV. Et quand accès il y a, ceci devraient être fait à travers une passerelle et contrôlé par l’utilisateur à partir de la passerelle.

        Seulement voila, on veut d’une part avoir des appareils « prêts à brancher » sans avoir à lire le mode d’emploi. Et plus grave les fabricants sont avides de toutes les données qu’ils pourront collecter sans avoir à vous demander votre avis et vendent des objets « non finis » dans les sens ou ils ont besoin de mises à jours pour corriger les erreurs ou devenir utiles. Pour des raisons de stratégie marketing, les fabricants construisent également leur système de communication propriétaire sans en communiquer le protocole – et ainsi pouvoir être le fournisseur exclusif de l’ensemble de votre installation domotique.

        Je ne suis donc pas d’accord pour dire que « l’OS n’est pas responsable ». Les négligences sont faites en toute connaissance de cause, que ce soit pour « vendre de la fonctionnalité » ou pour mettre en place des business model douteux.

        • Je crains que l’IPv6 apporte une dose supplémentaire d’insécurité, 99% des utilisateurs ne savent pas utiliser le port forward :S Ça augmente un peu la sécurité. Ça sera quoi quand chaques machines aura sa propre ip publique.

          Franchement je vois pas de solution miracle. Les appareils connectés pourrait avoir une passerelle pour les accès mais ça implique de s’entendre sur des protocoles et des interfaces pour que madame Michu puisse s’en servir. Miss Michu ne veut pas comprendre comment le routage fonctionne et s’en contrefiche.

          Les appareils connectés tournant sur du minimal, ils se contenteront d’une stack ip et d’un protocole de communication simple, ce n’est pas à ce niveau que la sécurité pourra se situer, sauf peut-être pour la communication avec une éventuelle passerelle.

  • Faisant connaissance avec vos écrits, j’en profite pour m’étonner sérieusement que vous ayez pu trouver une tribune ici, ou que vous l’ayez choisie…

    Votre article sur le Cloud Français, sur Cloudwatt, m’épate :
    – la France finance (sur fonds publics) une société de Cloud, filiale d’Orange
    – c’est bien, c’est bisounours, nous voila protégés des indiscrétions de l’Etat (????????)
    – Quand c’est la France, c’est de la souveraineté et c’est bien, mais quand la Russie fait pareil, c’est mal, c’est du cyber nationalisme
    – quand on connait la posture d’Orange au moment du scandale de la NSA, ca laisse rêveur… Orange a confirmé que la DGSI avait un acces direct a l’information chez eux, et que leur entente est parfaite.
    – vous finissez par appeler de vos voeux la creation d’un moteur de recherche européen… en oubliant qu’il ne servira a rien, puisque personne ne l’utilisera.

    Bref, le pire, c’est que ce n’était pas un article humoristique…

  • Le positif dans tout cela, c’est qu’étant à l’aube de la profusion de ces objets, les développeurs de logiciels systèmes et que sais-je, inventent des systèmes nouveaux et fiables, avant la catastrophe prédite.

    • « inventent des systèmes nouveaux et fiables »

      On peut inventer ce qu’on veut, ce n’est pas pour autant que le cela est utilisable par le public ou que les industriels vont l’adopter si ça ne va pas dans le sens de leur stratégie. Et je ne parle même pas des interventions des gouvernements.

    • Le coup du frigo fiable, il fallait l’oser ❗
      Un coup de foudre au bon endroit et plus rien ne fonctionne.
      Et rien n’arrête la foudre qui reste incomparablement plus puissante qu’un hacker même excellent.

  • Les commentaires sont fermés.

La liberté d’expression n’est pas gratuite!

Mais déductible à 66% des impôts

N’oubliez pas de faire un don !

Faire un don

Article disponible en podcast ici.

La Russie est connue pour ses compétences en piratages informatiques. Elle les utilise actuellement en Ukraine et pourrait se lancer à l’assaut de l’Europe pour déstabiliser des pays comme la France.

Aussi, il est de notre devoir de ne pas faciliter la vie des pirates russes en optant pour trois bonnes pratiques.

 

Garder les systèmes à jour

Si un pirate russe tombe sur une faille, il n’y a plus rien à faire. Il peut corrompre l’ordinateur de sa victime en appuyant sur une se... Poursuivre la lecture

Si nous constatons que le régime fédéral de Russie - au regard de sa répression de toute forme d’opposition, de sa surveillance de plus en plus étroite de sa population - est de plus en plus souvent considéré par certains observateurs, comme non plus autoritaire, mais totalitaire -  ces constats devraient faire réfléchir les citoyens des pays aujourd’hui démocratiques qui, certes pas à la même échelle, multiplient les outils de surveillance des citoyens.

Si le pas entre régime autoritaire et totalitaire peut être franchi, celui d’un ré... Poursuivre la lecture

Par Mohammed Chergui-Darif et Bruno Tiberghien.

 

Collectivités territoriales, administrations publiques, hôpitaux, écoles et universités, aucune de ces organisations publiques n’est à l’abri des cyberattaques, que la Défense française définit comme :

« (toute) action volontaire, offensive et malveillante, menée au travers du cyberespace et destinée à provoquer un dommage (en disponibilité, intégrité ou confidentialité) aux informations ou aux systèmes qui les traitent, pouvant ainsi nuire aux activités dont ils son... Poursuivre la lecture

Voir plus d'articles